• 發布單位:TWCERT/CC
• 更新日期:2026-05-29
• 點閱次數:243

近期微軟資安研究團隊與資安廠商觀察指出，攻擊者正大量利用名為「EvilTokens」的新興網路釣魚服務平台（PhaaS），結合人工智慧與自動化工具，針對企業與組織發動「裝置碼(Device Code)」釣魚攻擊。駭客透過社交工程手段，誘騙使用者於官方合法頁面完成授權程序，藉此成功繞過多因子驗證(MFA)並接管帳號，進而竊取內部敏感資料。資安專家特別指出，由於微軟Azure與Google兩大雲端平台在OAuth 2.0裝置碼機制的權限實作上存在差異，微軟環境面臨更為嚴重威脅。

國家資通安全研究院日前亦發布資安提醒指出，攻擊者正濫用「裝置碼」登入機制發動釣魚攻擊。「裝置碼」登入機制原本是為了智慧電視、物聯網（IoT）等不便輸入帳號密碼的設備所設計的驗證流程。然而，此項便利功能現已成為駭客濫用的目標。

圖1：裝置程式碼釣魚登入頁面範例。資料來源：proofpoint

攻擊者通常會發送客製化的社交工程郵件，如假冒企業內部設備管理人員，聲稱會議室的智慧電視連線失效，要求受害者協助掃描或輸入驗證碼進行驗證。當受害者被引導至真實的微軟官方裝置登入頁面，並輸入由駭客端動態生成的裝置碼並完成多因子驗證後，實際上等同於替攻擊者的登入請求完成認證，由於整個驗證流程與輸入網址皆為微軟官方真實服務。在傳統資安宣導中「檢查網址是否偽造」的防範方式對此攻擊完全無效，導致受害者極易降低戒心而受害。

一旦攻擊成功，攻擊者便能順利獲取登入權限並全面接管帳號，進而存取該帳號權限內的OneDrive雲端檔案、Outlook信件等敏感資料。此類攻擊可能進一步引發商業電子郵件詐騙與企業內部網路的橫向移動，進而成為攻擊者佈署勒索軟體的潛伏據點。

圖2：裝置碼（Device Code）社交工程攻擊示意流程。資料來源：資安院

資安廠商 Huntress 進一步分析兩大主要雲端平台在 OAuth 2.0 裝置碼機制上的實作差異，發現二者在遭受此類攻擊時的損害程度有顯著不同。在微軟 Azure 環境中，由於機制允許攻擊者在請求中指定資源與客戶端 ID(Client ID)，駭客可藉由裝置碼釣魚取得極高權限的存取權杖(Access Token)。這使得駭客能利用 Microsoft Graph API 讀取電子郵件、存取敏感檔案，甚至惡意註冊裝置以竊取主要重新整理權杖(Primary Refresh Token, PRT)，達成全面的帳號劫持；在Google 環境中，Google 對於裝置碼流程的權限限制極為嚴格，僅允許極少數特定範圍的授權。這項設計大幅削弱攻擊者利用該機制進行後續橫向移動的能力，因此在 Google 環境中造成的危害較低於微軟環境。

資安院提醒，此類攻擊是透過微軟合法官方頁面完成登入與MFA驗證，使用者易降低戒心而進行操作，建議企業與組織應儘速檢視內部雲端環境，並採取以下防護措施：

1. 嚴格限制或封鎖裝置碼流程：企業應評估組織內部設備管理之實際需求，若無必要，建議透過「條件式存取原則(Conditional Access Policy)」全面封鎖裝置碼流程；若無法全面封鎖，則應採用嚴格的白名單機制，僅允許獲得批准的使用者、信任之作業系統或特定IP網段使用此功能。
2. 強化登入日誌監控與異常授權撤銷：資安團隊應加強監控登入日誌中驗證協定為Device Code 的活動。若發現異常的登入請求，或使用者在非預期時間點進行裝置碼驗證，應即時撤銷相關帳號的登入授權與所有連線階段。
3. 提升員工針對新型態攻擊的資安意識：傳統的釣魚防範訓練已不足以應對此類新型態威脅。組織應教育員工，面對任何「請求輸入設備碼」、「授權應用程式」或「進行額外身分驗證」的郵件與訊息時應提高警覺，切勿在未確認的情況下輸入來自外部或未受信任來源的裝置碼。