駭客利用名為 Tycoon 2FA 的網釣工具包,結合 OAuth 裝置驗證授權機制與 Trustifi 追蹤器,大規模滲透 Microsoft 365 企業帳號。此手法透過中間人攻擊(AiTM)竊取驗證碼,繞過傳統雙重驗證防護,導致企業與個人帳號遭非法存取。
🔍 防詐解析
駭客利用名為 Tycoon 2FA 的自動化網釣工具,透過中間人攻擊(AiTM)攔截用戶的登入請求,並利用 OAuth 授權機制將惡意應用程式綁定至受害者的 Microsoft 365 帳號。他們搭配 Trustifi 追蹤器持續監控帳號活動,一旦發現異常即進行權限提升或資料竊取,成功繞過傳統雙重驗證的防護。這種攻擊方式高度自動化且難以被一般用戶察覺,因為它模擬了正常的企業登入流程。
一般民眾與企業員工最容易在「信任」環節中招,當收到看似來自微軟官方或公司 IT 部門的驗證通知時,往往會因恐慌或習慣性點擊而授權惡意應用程式。許多用戶誤以為只要輸入密碼和驗證碼就安全,卻不知道駭客已透過 OAuth 機制獲得了長期存取權限,甚至能修改密碼與備份設定,讓受害者完全失去對帳號的控制。
防範建議包括:務必開啟「登入通知」功能,對任何不明來源的裝置驗證請求保持警惕,切勿隨意點擊郵件中的連結。企業應實施嚴格的多重驗證策略,並定期審視已授權的第三方應用程式清單,移除不需要的權限。若發現帳號異常,應立即透過官方管道變更密碼並通知 IT 部門進行全面安全掃描。
🚩 紅旗特徵
- •收到不明來源的 OAuth 授權請求或裝置驗證通知
- •帳號出現異常登入紀錄或無法解釋的權限變更
- •收到要求立即驗證以「保護帳號」的緊急簡訊或郵件
關鍵字
Tycoon 2FAOAuthMicrosoft 365中間人攻擊Trustifi網釣
查看原始報導 ↗(iThome)