【安全资讯】设备代码钓鱼攻击激增37倍，新型钓鱼套件在线扩散

概要：

网络安全领域近期出现一种利用OAuth 2.0设备授权流程的新型钓鱼攻击，其活动量在2026年内激增超过37倍，引发广泛关注。这种攻击手法通过欺骗用户输入设备授权码，从而劫持其账户，因其隐蔽性和高成功率，正被越来越多的网络犯罪团伙所采用，对企业和个人账户安全构成严重威胁。

主要内容：

设备代码钓鱼攻击滥用了OAuth 2.0设备授权许可流程，该流程本是为简化智能电视、打印机等无便捷输入功能设备的登录而设计。攻击者首先向服务提供商（如Microsoft）发起设备授权请求并获得一个代码，随后通过伪造的邮件或消息，诱骗受害者在合法的登录页面输入此代码。一旦输入，攻击者的设备便获得了访问受害者账户的有效令牌。

据Push Security研究人员观察，此类攻击在2026年3月初已出现15倍增长，目前增幅已达37.5倍。这一激增主要归因于名为EvilTokens的钓鱼即服务套件的流行，它极大地降低了实施此类攻击的技术门槛，使得技能水平不高的犯罪分子也能轻易发起攻击。

目前，安全公司已识别出至少11种提供设备代码钓鱼功能的PhaaS套件，包括VENOM、SHAREFILE、CLURE等。这些套件普遍采用真实的SaaS主题作为诱饵（如DocuSign、Microsoft Teams、Adobe），并集成反机器人保护，同时滥用Cloudflare Workers、GitHub Pages、AWS S3等云平台进行托管，增强了隐蔽性和生存能力。

为防范此类攻击，安全专家建议组织在账户中设置条件访问策略，在非必要时禁用设备代码流程。同时，应密切监控日志中是否存在异常的设备代码认证事件、非常用IP地址登录以及可疑会话，以便及时发现和阻断入侵行为。