資安專家示警：駭客利用「裝置碼登入機制」發動新型釣魚攻擊

資安專家示警駭客利用「裝置碼登入機制」發動釣魚攻擊。（路透）

〔記者邱巧貞／台北報導〕近期微軟資安研究團隊及多家資安廠商觀察發現，攻擊者正大量利用名為「EvilTokens」的新興網路釣魚即服務（ PhaaS）平台，結合人工智慧（AI）與自動化工具，針對企業與組織發動「裝置碼（Device Code）」釣魚攻擊。駭客透過社交工程手法誘騙使用者於官方合法頁面完成授權程序，藉此繞過多因子驗證（MFA）並接管帳號，進而竊取企業內部敏感資料。

資安專家指出，由於微軟Azure與Google兩大雲端平台在OAuth 2.0裝置碼機制的權限設計上存在差異，導致微軟環境面臨的風險與衝擊程度遠高於Google環境。

國家資通安全研究院日前也發布資安警訊，提醒攻擊者正濫用原本設計供智慧電視、物聯網（IoT）設備等不便輸入帳號密碼裝置使用的「裝置碼登入機制」發動釣魚攻擊，讓這項原本提升使用便利性的功能，如今成為駭客鎖定的新目標。

根據資安單位分析，攻擊者通常會發送客製化社交工程郵件，例如假冒企業內部設備管理人員，謊稱會議室智慧電視或其他設備連線異常，要求受害者協助完成驗證程序。當受害者依指示前往微軟官方裝置登入頁面，輸入由駭客動態產生的裝置碼，並完成多因子驗證後，實際上等同於替攻擊者的登入請求完成授權。

由於整個登入與驗證過程皆發生於微軟官方合法網站，且使用者輸入的網址與頁面均無異常，因此傳統資安教育中強調的「檢查網址是否偽造」已無法有效防範此類攻擊，使受害者更容易降低戒心而誤入陷阱。

一旦攻擊成功，攻擊者便能順利獲取登入權限並全面接管帳號，進而存取該帳號權限內的OneDrive雲端檔案、Outlook信件等敏感資料。此類攻擊可能進一步引發商業電子郵件詐騙與企業內部網路的橫向移動，進而成為攻擊者佈署勒索軟體的潛伏據點

資安廠商Huntress進一步分析微軟與Google在OAuth 2.0裝置碼機制上的實作差異後發現，兩者在遭受此類攻擊時的影響程度明顯不同。

在微軟Azure環境中，由於系統允許攻擊者在請求過程中指定資源與客戶端識別碼（Client ID），因此駭客可透過裝置碼釣魚取得高權限的存取權杖（Access Token）。取得權杖後，攻擊者能利用Microsoft Graph API讀取電子郵件、存取敏感檔案，甚至透過惡意註冊裝置的方式竊取主要重新整理權杖（Primary Refresh Token, PRT），最終達成全面性的帳號劫持。

相較之下，Google對裝置碼流程的權限控制相對嚴格，僅允許極少數特定範圍的授權操作。此設計大幅限制攻擊者取得高權限存取能力及後續橫向移動的可能性，因此即使遭遇相同攻擊手法，Google環境所承受的風險與損害程度通常較低。

面對此類新型態攻擊威脅，資安院呼籲企業與組織應立即檢視內部雲端環境設定，並採取多項防護措施。首先，企業應評估是否確有使用裝置碼流程的需求，若無必要，建議透過「條件式存取原則（Conditional Access Policy）」全面封鎖相關功能；若因業務需求無法完全停用，則應建立嚴格白名單機制，僅允許特定使用者、受信任設備或指定IP網段使用此功能。

其次，資安團隊應加強監控登入日誌中使用Device Code驗證協定的活動紀錄。一旦發現異常登入請求，或使用者於非預期時段進行裝置碼驗證，應立即撤銷相關帳號授權及所有既有連線階段，以降低風險擴散。

此外，專家也提醒，傳統釣魚郵件辨識訓練已不足以應對此類攻擊模式。企業應進一步強化員工對新型態社交工程攻擊的認知，教育使用者對任何要求輸入裝置碼、授權應用程式或額外進行身分驗證的郵件與訊息保持高度警覺，切勿在未經確認的情況下輸入來自外部或不明來源提供的裝置碼，以避免帳號遭到駭客利用與接管。

一手掌握經濟脈動 點我訂閱自由財經Youtube頻道