1.中间人攻击 (AiTM, Adversary-in-the-Middle)
这是当前最为普遍且危险性最高的攻击技术。以Evilginx为代表的攻击工具包显著降低了AiTM攻击的技术门槛。
攻击机制:攻击者在受害者与合法身份提供商之间部署透明代理服务器。受害者虽然认为正在访问官方认证页面,但其所有交互数据(包括用户名、密码和MFA验证码)均被代理服务器实时截获。最关键的是,当受害者成功完成身份验证后,其会话令牌也会被攻击者捕获。攻击者随后可以重放该令牌,实现身份冒充。
典型诱饵:伪造的付款通知、文档共享链接、虚假的职业社交平台验证等,利用紧迫性心理促使受害者快速点击。
防御策略:单纯部署MFA已不足以应对此类攻击。必须结合基于风险的条件访问策略(Conditional Access)。例如,Microsoft Entra ID Protection能够评估登录请求的多维度信号(IP地址、设备合规状态、位置信息等)。当检测到异常行为(如令牌重放来自可疑IP地址)时,系统能够自动阻断访问或触发额外身份验证。这相当于为会话令牌增加了地理位置和设备绑定的安全层。
2.设备代码网络钓鱼 (Device Code Phishing)
这是一种针对特定身份验证流程的新型攻击手法,专门利用无浏览器设备(如智能电视、IoT设备)的身份验证机制。
攻击机制:攻击者诱导受害者在攻击者控制的设备上发起身份验证请求。系统生成设备代码后,要求受害者在其个人设备上访问特定URL并输入该代码以完成授权。一旦受害者完成授权流程,攻击者控制的设备即获得对受害者账户的合法访问权限。
典型诱饵:伪造的税务通知、图书预购确认等通用型钓鱼邮件,诱导受害者为新设备进行授权操作。
防御策略:对于不需要设备代码身份验证流程的业务场景,应当完全阻止该功能。如业务确有需求,则必须在条件访问策略中进行严格配置,精确限制其使用范围和授权条件。
3.OAuth同意授权钓鱼 (OAuth Consent Phishing)
该攻击手法利用用户对第三方应用授权的信任机制,具有极强的隐蔽性。
攻击机制:攻击者创建恶意的第三方应用程序,通过钓鱼邮件诱导受害者进行授权。受害者可能认为仅授权一个文档查看器访问其文件,但该应用实际申请的权限可能包括代表用户收发电子邮件等高敏感权限。一旦受害者点击同意,攻击者即获得可持续访问受害者账户的OAuth令牌。
高级变种:即使受害者警觉地点击取消,页面也可能被重定向至AiTM钓鱼站点,实施二次攻击。
防御策略:实施严格的应用程序同意策略。例如,仅允许用户为经过验证且申请低风险权限的应用程序授权,或采用管理员同意模式,要求所有应用授权经IT部门审批后方可生效。
4.设备注册网络钓鱼 (Device Join Phishing)
这是最新发现的攻击技术之一,旨在将攻击者控制的设备注册为企业租户内的合法设备。
攻击机制:攻击者发送包含有效授权码的恶意链接,诱导受害者点击。该操作会返回一个令牌,使攻击者的设备能够注册到企业租户中,成为内部受信任设备。
典型诱饵:伪装成第三方应用通知或会议邀请。
防御策略:提高设备注册的安全阈值,要求在设备注册过程中必须使用高强度身份验证凭据(Authentication Strength),例如要求通过受信任设备的身份验证。
