FBI 揭露名為 Kali365 的釣魚即服務(Phishing-as-a-Service)套件,專門針對 Microsoft 365 用戶,透過竊取存取權杖(Access Tokens)來非法取得企業或個人帳號權限。此手法無需使用者輸入密碼,即可繞過雙重驗證,造成嚴重的資安漏洞與資料外洩風險。
🔍 防詐解析
此詐騙利用名為 Kali365 的自動化套件,透過偽造 Microsoft 365 的登入頁面,誘騙使用者點擊連結。一旦使用者登入,攻擊者並非竊取密碼,而是直接竊取後台發行的「存取權杖」,這使得他們能直接以受害者身份登入系統,完全繞過雙重驗證機制。一般民眾與企業員工常誤以為只要密碼正確就安全,卻忽略了權杖被竊取後,攻擊者能直接接管帳號,造成即時且難以攔截的入侵。建議民眾與企業應嚴格審查所有登入連結,開啟登入活動日誌監控異常 IP,並強制啟用硬體金鑰等強化的雙重驗證措施。
🚩 紅旗特徵
- •收到來自可疑來源的 Microsoft 365 登入通知或驗證請求
- •網址與官方 Microsoft 域名不符或包含異常參數
- •系統提示要求立即驗證以解決「異常登入」問題
關鍵字
Microsoft 365釣魚攻擊存取權杖Phishing-as-a-ServiceFBI-IC3
查看原始報導 ↗(FBI-IC3)