2 月 15 日消息，微软公司昨日（2 月 14 日）发布紧急示警，旗下威胁情报中心发现一个名为 Storm-2372 的黑客组织，正利用合法的设备代码身份验证流程进行网络钓鱼攻击，窃取 Microsoft 365 账户。

该组织伪装成在线活动、虚拟会议或安全聊天的邀请，诱骗用户完成设备代码身份验证，从而访问受害者的 Microsoft 365 服务，窃取敏感信息，并在受害者组织内传播钓鱼信息。

攻击者从其设备生成合法的设备代码，并将其发送给受害者。受害者误以为这是访问会议或聊天室的 ID，将其输入到合法的身份验证页面。攻击者通过模仿 Microsoft Teams 等合法服务的邀请邮件或网页，引导受害者访问此页面。

IT之家援引博文介绍，攻击者利用 Microsoft Graph 搜索受损账户中包含“用户名”、“密码”、“管理员”、“TeamViewer”、“AnyDesk”、“凭据”、“秘密”、“部门”和“政府”等关键词的信息，并通过电子邮件将其窃取。

此类攻击利用了合法的设备代码身份验证流程，比传统的钓鱼网站或恶意软件更难检测。而且，设备代码钓鱼攻击的认知度较低，使其更具隐蔽性。

微软建议组织禁用组织 Microsoft 365 账户的设备代码流程，并实施登录风险策略，自动撤销可疑登录的访问令牌。如果怀疑遭受设备代码钓鱼攻击，可以通过调用 Microsoft Graph 中的 revokeSignInSessions 撤销攻击者获得的访问令牌。