張貼日期: 2026-07-13 20:14:26 點閱:16
國家資通安全研究院發布(2026/5/15)提醒指出,微軟資安研究團隊近期揭露,攻擊者利用名為「EvilTokens」之釣魚服務平台,結合AI與自動化工具發送客製化之社交工程郵件,並藉由裝置代碼(Device Code)登入機制,誘騙使用者完成授權程序後,攻擊者就能取得帳號登入授權,進而存取帳號與其中的敏感資料。
資安院說明,裝置代碼機制主要用於智慧電視、物聯網裝置設計等不便輸入帳號密碼的設備,使用者可藉由其他裝置完成登入驗證。然而攻擊者可能濫用此機制,透過釣魚郵件或偽裝頁面,引導使用者至微軟裝置登入頁面輸入裝置代碼。一旦完成登入與多重要素驗證(Multi-factor authentication, MFA ),即等同授權攻擊者取得帳號存取權限,而非直接竊取密碼。
防護措施:
一、僅於必要情境下允許使用裝置代碼登入機制,並確認相關流程是否符合組織內部設備與帳號管理需求。
二、以條件式限制存取機制,限制或封鎖不必要的裝置代碼登入流程,並針對異常登入授權使用情形進行監控,如疑似遭濫用,應即時撤銷相關授權。