資安業者發現新型攻擊架構,讓駭客能更輕易發動裝置碼釣魚攻擊,竊取用戶的 Microsoft 365 或其他雲端帳號權杖。此手法利用合法認證流程的漏洞,使受害者在不察覺的情況下交出帳號存取權限。
🔍 防詐解析
駭客利用新型基礎架構,將釣魚連結嵌入看似合法的認證流程中,誘導受害者掃描 QR 碼或點擊連結以授權第三方應用程式。一旦受害者同意,駭客便能竊取存取權杖(Access Token),進而完全接管其 Microsoft 365 或其他雲端帳號,無需密碼即可存取敏感資料。一般民眾常誤以為只要輸入密碼才危險,卻忽略了授權步驟的風險,容易在不知不覺中交出帳號控制權。建議民眾應仔細核對授權頁面的網址與申請者名稱,切勿隨意掃描不明 QR 碼,並開啟雙重驗證以增強帳號防護。
🚩 紅旗特徵
- •收到不明連結要求登入或授權
- •瀏覽器彈出非官方認證頁面
- •要求掃描 QR 碼或開啟應用程式進行授權
關鍵字
裝置碼釣魚Microsoft 365權杖竊取駭客基礎架構雲端安全
查看原始報導 ↗(iThome)