攻擊者利用 OAuth 2.0 的 Device Authorization Grant 流程,透過 Device Code 釣魚攻擊竊取用戶帳號,今年攻擊數量激增37倍。此手法結合新型攻擊套件,對科技基礎設施構成嚴重威脅。
🔍 防詐解析
攻擊者利用 OAuth 2.0 的 Device Authorization Grant 流程,誘導受害者輸入 Device Code,進而竊取帳號權限。這種手法比傳統釣魚更隱蔽,因為它繞過部分瀏覽器安全機制,讓惡意程式能長期存取帳號。一般民眾容易在收到看似合法的驗證請求時,未確認來源便輸入代碼,導致帳號被 hijack。建議民眾對任何要求輸入 Device Code 的請求保持警惕,務必透過官方管道確認,並啟用雙重驗證以增強帳號安全。
🚩 紅旗特徵
- •要求輸入 Device Code 以驗證身份
- •非官方管道發送驗證連結
- •利用 OAuth 流程隱藏惡意行為
關鍵字
Device CodeOAuth 2.0釣魚攻擊帳號竊取安全漏洞
查看原始報導 ↗(BleepingComputer)