卡巴斯基昨日发布博文,披露称在 2026 年 4~5 月期间,监测发现有攻击者利用微软身份平台,执行网络钓鱼活动。
援引博文介绍,在正常流程中,用户需在另一台设备访问verification_uri,例如,再输入user_code完成授权。
而根据卡巴斯基披露的细节,初始邮件伪装成律师事务所通知,并附带一个受密码保护的 PDF。受害者输入密码后,会看到列有多份文档的落地页,但查看文档需点击页面链接。该链接表面指向合法微软地址,实际借助 URL 参数把用户重定向至仿冒企业法律门户的钓鱼页面。
该钓鱼页面设置了多重 CAPTCHA,随后引导用户一次性代码。这个代码即攻击者服务器预先从获取的user_code。
用户点击代码后,页面会自动内容并跳转至微软真实认证页。受害者在微软官方页面完成多因素认证后,攻击者即可获得该会话的access_token、refresh_token和id_token,并读取或发送邮箱邮件、导出 OneDrive 文件、访问 Teams 对话。










