FBI警告：黑客用微軟正版登錄頁偷賬號，能繞過雙重驗證

你可能覺得自己夠小心了——看到陌生鏈接會檢查，知道要開雙重驗證。但FBI最新警告說，有一種新騙局連真正的微軟登錄頁面都能變成武器。

這個騙局基于一個叫Kali365的"釣魚即服務(wù)"平臺。它的狡猾之處在于：不偽造假網(wǎng)站，而是把你引向真的Microsoft.com。你輸入的密碼、點的確認(rèn)，全都是發(fā)給微軟的。但黑客照樣能拿走你的賬號。

問題出在微軟為電視、機頂盒這類設(shè)備設(shè)計的登錄方式上。這些設(shè)備輸入不便，微軟允許用戶先在電腦或手機上輸入一個短碼完成認(rèn)證，再給設(shè)備放行。Kali365的攻擊者就鉆這個空子：他們先發(fā)起登錄流程，拿到一個設(shè)備碼，然后發(fā)釣魚郵件騙你在真正的微軟頁面上輸入這個碼。

你以為是幫自己的設(shè)備登錄，實際上是在給黑客的會話授權(quán)。微軟驗證通過后，會發(fā)給攻擊者一個訪問令牌——他們不需要你的手機驗證碼，不需要你的安全密鑰，就能直接進你的賬號。

更隱蔽的是另一種手法。攻擊者控制一套中間基礎(chǔ)設(shè)施，把你的瀏覽器請求轉(zhuǎn)發(fā)給真正的微軟服務(wù)器。頁面看起來完全正常，地址欄也是對的，但你的流量先經(jīng)過了黑客的服務(wù)器。FBI說，這種架構(gòu)下"你不會看到任何明顯的異常跡象"。

一旦得手，攻擊者能碰到的范圍很廣：OneDrive文件、Outlook郵件、Salesforce等第三方應(yīng)用。他們還能隨意注冊新設(shè)備，甚至設(shè)置郵箱規(guī)則來隱藏痕跡——比如自動刪除某些郵件，或者把敏感郵件轉(zhuǎn)發(fā)到外部地址。

網(wǎng)絡(luò)安全公司Arctic Wolf今年4月詳細(xì)分析過這個攻擊鏈。他們指出Kali365的危險性很大程度上來自"易用性"：平臺內(nèi)置AI生成釣魚內(nèi)容的功能，提供現(xiàn)成模板，還有受害者追蹤系統(tǒng)。按FBI的說法，"技術(shù)門檻較低"的攻擊者也能造成嚴(yán)重后果。目前這些人主要在Telegram的加密聊天群里分享工具和情報。

對個人用戶來說，識別釣魚郵件是目前最有效的自保手段。Arctic Wolf發(fā)現(xiàn)Kali365的釣魚郵件基于八個固定模板，只有部分內(nèi)容會替換。看到以下主題行要格外警惕：

? "SharePoint – Document Shared: [某人] shared a file with you"
? "OneDrive – File Shared: [某人] shared 'Document' with you"
? "Teams – New Message: [某人] sent a message in [公司名]"
? "Microsoft 365 – Voicemail: Voicemail from [某人] – [日期]"
? "DocuSign – Signature Required: [某人] requested your signature"
? "Invoice Notification: Invoice #INV-[日期] for [公司名]"
? "Adobe Acrobat Sign – Agreement: Action required: [公司名] agreement from [某人]"
? "Account Security Notification: Account notification for [郵箱]"

這些郵件通常偽裝成Excel、PDF、PowerPoint或Word文件分享，界面設(shè)計也盡量做得逼真。但核心套路不變：誘導(dǎo)你點擊，然后讓你在某個地方輸入設(shè)備碼或登錄信息。

FBI表示，企業(yè)和政府賬號的防護手段更成熟一些。IT管理員可以配置條件訪問策略，限制登錄地點和設(shè)備合規(guī)性；可以強制要求符合FIDO2標(biāo)準(zhǔn)的安全密鑰，而不是依賴容易被繞過的短信或應(yīng)用驗證碼；還可以監(jiān)控異常的郵箱規(guī)則變更和新設(shè)備注冊行為。

但對普通個人用戶，這些選項大多不可用。你能做的主要是：收到任何要求"輸入代碼"或"確認(rèn)登錄"的提示時，先問自己——我最近有沒有在新設(shè)備上登錄微軟賬號？如果答案是否定的，那個代碼就不是為你準(zhǔn)備的。

真正的微軟登錄請求只會出現(xiàn)在你自己主動發(fā)起的場景里。任何被動彈出的、郵件里的、聊天工具里的"幫忙確認(rèn)一下"，都值得先打住，直接去account.microsoft.com檢查自己的登錄活動記錄。

這個案例的諷刺之處在于，攻擊者利用的恰恰是微軟為了提升安全性而設(shè)計的機制。設(shè)備碼登錄本意是解決電視等設(shè)備的輸入難題，結(jié)果成了繞過MFA的通道。安全功能的復(fù)雜性和真實攻擊面之間的縫隙，有時候比明顯的漏洞更難防范。