國家資通安全研究院(資安院)於 2026 年 5 月 15 日發布資安警示,指出攻擊者正透過名為「EvilTokens」的釣魚即服務(PhaaS)平台,結合AI與自動化工具,大規模濫用微軟裝置代碼登入機制,誘騙使用者在不知情的情況下授權帳號存取權限,導致多因子驗證(MFA)防護機制失去應有效果,企業內部帳號與敏感資料面臨重大風險。
攻擊手法翻新,MFA 不再是安全保障
此波攻擊的核心在於濫用微軟合法的裝置代碼登入流程。裝置代碼機制原本設計用於智慧電視、物聯網裝置等不便輸入帳號密碼的設備,允許使用者透過其他裝置完成身分驗證。然而,攻擊者正是利用這項合法機制的運作邏輯,繞過傳統防護手段。
攻擊者不需要竊取使用者的密碼,而是誘使受害者主動完成登入及 MFA 驗證,等同於讓受害者替攻擊者完成身分認證。由於整個驗證流程均發生在微軟官方頁面,使用者幾乎無從察覺異狀,這也是此類攻擊特別危險之處。
EvilTokens 平台大幅降低攻擊門檻
資安院指出,EvilTokens 釣魚服務平台整合 AI 工具,協助攻擊者自動生成高度客製化的社交工程郵件,能夠針對不同目標組織調整郵件內容與情境,提升釣魚郵件的可信度與成功率。
即便不具備深厚技術背景的攻擊者,也能透過 EvilTokens 平台發動完整的裝置代碼釣魚攻擊,代表此類威脅的規模與頻率預期將持續上升。
攻擊流程:六步驟完整剖析
資安院說明,此類攻擊的完整流程如下:
- 攻擊者先向微軟申請一組裝置代碼,偽裝成待登入的設備,例如會議室智慧電視。
- 攻擊者透過 EvilTokens 平台發送釣魚郵件,假冒公司內部設備管理人員,通知員工「會議室 Microsoft Teams 登入工作階段已失效,請協助完成登入驗證」。
- 員工點擊郵件連結後,被引導至微軟官方裝置代碼輸入頁面。
- 員工輸入裝置代碼、登入帳號,並完成 MFA 驗證,實際上卻是為攻擊者發起的登入請求完成認證。
- 微軟系統將登入授權發送給發起裝置登入請求的一方,也就是攻擊者。
- 攻擊者取得帳號存取權限後,即可存取該帳號的 OneDrive 雲端檔案、Outlook 信件等敏感資料。
由於整個流程使用的是微軟官方驗證頁面,員工往往誤認為是協助公司設備完成正常登入,難以察覺遭受攻擊。
資安院提出三大防護建議
面對此類新型攻擊手法,資安院建議企業與組織從技術管控與員工意識兩個層面強化防護:
一、
確認裝置代碼使用情境: 僅於必要情境下允許裝置代碼登入機制,並確認相關流程是否符合組織內部設備與帳號管理需求,避免機制遭到不當使用。
二、
限制高風險授權流程並強化監控: 建議透過條件式存取(Conditional Access)機制,限制或封鎖不必要的裝置代碼登入流程;同時針對異常登入授權行為進行即時監控,一旦發現疑似濫用情形,應立即撤銷相關授權。
三、
加強員工社交工程防範教育: 應定期對員工宣導此類身分授權濫用手法,提醒員工在收到要求輸入裝置代碼、授權應用程式或進行額外身分驗證的電子郵件或網頁時,務必確認來源、用途,以及是否為本人主動發起,切勿輕易配合操作。
企業資安團隊應儘速審視組織內部的裝置代碼使用政策,並加強對相關異常登入事件的監控能力,以降低帳號遭盜用及敏感資料外洩的風險。