新駭客基礎架構出現，加速裝置碼釣魚、竊取Microsoft 365權杖

裝置碼釣魚目的在誘騙使用者授權惡意應用程式存取企業郵件帳號。其原理是濫用OAuth 2.0裝置授權；攻擊者先發送電子郵件、檔案或QR code給受害者，利用社交工程誘使受害者點擊連結或掃描QR Code。當使用者點擊並造訪攻擊者設立的網頁，會觸發攻擊過程：該流程會發送一組裝置代碼要求使用者在手機介面輸入，這個動作完成了微軟伺服器端的驗證，表面上讓用戶得以存取微軟服務，如Microsoft 365，但同時間暗中將微軟服務的token傳給了攻擊者伺服器。待使用者取得微軟的token，之後攻擊者就可以直接存取使用者的微軟服務，即Microsoft 365或Outlook信箱，而無需再經過一次多因素驗證。成功的裝置碼釣魚可導致完整帳號接管、竊取敏感資訊、詐欺和商業電子郵件詐騙（business email compromise）、橫向移動。

2025年秋天，研究人員觀察到一起裝置碼釣魚攻擊使用和過去不一樣的實作方式，相較於過去由攻擊者產出裝置碼，新一波攻擊則是隨需（on-demand）產生。由攻擊者產出裝置碼傳給用戶，用戶若未在15分鐘內輸入微軟的驗證手機介面，驗證碼就會過期。而新式手法則是在使用者點擊連結或QR code後才會動態產生裝置碼。而這新型態實作可以在釣魚即服務（Phishing-as-a-service，PhaaS）平臺如EvilTokens或Tycoon購買，或是由攻擊者持有的基礎架構建立。

其中，研究人員判斷，EvilTokens是以vibe coding的AI生成技術建立和維護。EvilTokens首先是在2026年2月在Telegram上宣傳，目的是蒐集驗證token，再用以存取目標帳號，取得資料或其他服務。該平臺為「客戶」提供多種登入頁及主題，如微軟、Adobe、DocuSign，建立從誘餌到基礎架構整個攻擊鏈。它的同夥（affiliate）還可購買入口網站瀏覽器（Portal Browser），使其存取和管理多個被駭的Microsoft 365（M365）帳號，用於自動化和擴大變臉攻擊。

研究人員發現到多種類似EvilTokens的變種，可用來進行裝置碼釣魚。在今年4月Proofpoint研究人員觀察到7個不同變種，但不確定其間關係或先後。3月研究人員觀察到TA4903組織利用裝置碼釣魚竊取M365憑證進行變臉攻擊。此外，雖然大部份此類攻擊竊取的是M365憑證，但也有少部份以Google憑證為目標。

研究人員建議，要防範裝置碼釣魚，最好的方式是利用驗證流（Authentication Flows）條件建立「條件式存取政策」（Conditional Access policy）防堵所有使用者的裝置碼流。如果無法防堵所有人存取，也可以用「條件式存取」依據可接受的使用情境建立白名單，例如只允許特定使用者、OS或特定範圍IP啟用裝置碼驗證。