文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

但就在你输入那串看似无害的字母数字组合、点击“下一步”的瞬间,你的企业邮箱、OneDrive 文件、Teams 会议记录,甚至整个 Azure AD 权限,可能已经落入黑客手中。...消息中附带一个标准微软短链:**https://aka.ms/devicelogin**(真实有效的微软设备登录入口),并提供一组8位字母数字混合的“设备代码”,例如 XK92-MPQ7。...问题在于:步骤4中的授权页面由微软官方提供,用户无法分辨背后的应用是否可信。“普通用户看到的是微软的 UI,但授权的对象却是攻击者注册的 OAuth 应用。”...Microsoft Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep...(5)else:print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:#

10910

基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

研究基于实际捕获的恶意应用注册信息、授权日志与API调用轨迹,系统还原了从社会工程诱骗、OAuth同意页面伪造到数据外传的完整攻击链。...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...攻击者使用refresh_token定期换取新access_token,实现长期潜伏。所有API调用均来自微软合法IP,难以被网络层检测。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4 企业安全配置中的薄弱环节尽管微软提供多项安全控制,但实际部署中普遍存在以下问题:4.1 第三方应用授权策略宽松默认情况下,Microsoft Entra ID允许所有用户注册和授权第三方应用。

18210
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    尤其在Microsoft 365、Salesforce、Google Workspace等主流SaaS平台中,一旦主账户凭证失窃,攻击者可在数分钟内完成权限提升、邮箱导出、API调用乃至数据外泄,而平均检测延迟仍超过...具体驱动因素包括:密码复用与弱口令惯性:尽管NIST SP 800-63B早已推荐使用长密码短语替代复杂字符组合,但大量用户仍在多个平台重复使用相同密码。...此过程中,攻击者无需部署恶意软件,全程利用合法API调用,规避传统EDR检测。思科报告显示,73%的勒索事件中,攻击者在获得凭证后4小时内完成数据加密或外传。...4.4 管理层:文化与流程重塑部署对话式钓鱼模拟:不同于传统一次性测试,采用持续性、上下文感知的模拟(如模拟IT部门在Teams中询问“是否收到安全更新邮件?”),提升员工警惕性。...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    21210

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    公共互联网反网络钓鱼工作组技术专家芦笛指出,“而Microsoft 365因其广泛使用和强大API能力,成了攻击者的首选目标。”...它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...不过,工具也有门槛:部署者需具备一定的PowerShell或Python脚本能力,并为服务账号配置适当的Graph API权限(如AuditLog.Read.All、Directory.Read.All

    13610

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    尽管设计初衷合理,但该机制在实际应用中暴露出严重的安全盲区——攻击者可诱导用户在真实的微软登录页面输入由攻击方生成的设备代码,进而完成恶意应用的授权绑定。...);调用设备授权端点,获取device_code和user_code;通过钓鱼邮件、Teams消息或短信向目标用户发送诱导信息,例如:“您的账户需进行安全验证,请立即访问 https://microsoft.com...Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...随后,攻击者可使用该令牌调用Graph API:# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json...同时,微软已在设备登录页面增加风险提示(如“您是否认识此应用?”),但效果有限,需结合内部安全通告强化认知。

    10710

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    # 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...邮件安全网关:钓鱼邮件来自真实邮箱,内容无恶意附件或链接(指向的是微软官方域名),难以拦截;MFA:用户确实在微软官网完成了交互式登录,MFA已通过;SIEM/SOAR:后续的API调用(如读取邮件)来自微软数据中心...例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。(4)员工意识培训需升级传统“别点可疑链接”已不够。...培训应聚焦:任何要求“输入代码到微软登录页”的请求都需高度警惕;即使链接是 microsoft.com,也可能被用于授权恶意应用;授权前务必确认应用名称是否可信(如“Microsoft Teams” vs

    10810

    Microsoft Teams 全球大瘫痪。。。

    八个多小时前微软在Microsoft 365状态Twitter官方帐户上透露:“我们接到了有关用户无法访问Microsoft Teams或使用任何功能的报告。”...微软证实了这些问题,声称随后的Microsoft 365中断仅仅影响与Teams集成的服务。...微软在其Microsoft 365服务健康状态页面上进一步详述,受影响的客户在使用以下一项或多项服务时遇到了问题: •Microsoft Teams(访问、聊天和会议) •Exchange Online...(发送邮件出现延迟) •Microsoft 365 管理员中心(无法访问) •多项服务内的Microsoft Word(无法加载) •Microsoft Forms(无法通过Teams来使用) •Microsoft...Graph API(任何依赖此API的服务都可能受到影响) •Office Online(Microsoft Word 访问问题) •SharePoint Online(Microsoft Word

    2.4K30

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...但更令分析师困惑的是,同一时间段内,另一家美国医疗公司也遭遇了几乎完全相同的攻击手法,只是目标从窃取战略情报变为部署勒索软件。起初,安全公司以为是两个独立事件。...此时,受害者实际上是在向攻击者控制的应用授权!一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...(如非常规地理位置、高频API调用);使用Microsoft Defender for Cloud Apps设置异常活动告警,如“单用户1小时内下载10GB OneDrive数据”。...(4)员工培训升级:从“防链接”到“防授权”培训内容需更新:任何要求“输入代码到微软登录页”的请求都需警惕;授权前务必确认应用名称是否可信(如“Microsoft Teams” vs “FileShare

    11710

    议会邮箱成“数字前线”!英国议员频遭高精度鱼叉钓鱼,国家级黑客正瞄准民主神经中枢

    如引用议员三天前在辩论中的原话,或附上一张真实会议照片(从议会官网下载),再叠加一个“补充材料”链接。...案例2:滥用Microsoft Teams链接更狡猾的是,部分攻击直接利用合法协作工具。邮件正文写道:“相关文件已上传至Teams频道,请点击此处查看。”...,制造“登录成功”假象return redirect('https://teams.microsoft.com/')这种攻击能绕过绝大多数基于签名的检测机制,因为整个流程发生在合法HTTPS通道中。...英国NCSC已明确建议议员停止在WhatsApp、Signal上讨论公务,转而使用经认证的加密平台(如Microsoft Teams政府版)。此外,国内部分政企单位的邮箱系统仍缺乏行为基线分析能力。...以下是一个基于Microsoft Graph API的示例:# check_forwarding_rules.pyimport requestsGRAPH_API_URL = "https://graph.microsoft.com

    8710

    利用协作平台的钓鱼攻击:以Microsoft Teams与Slack为例的技术分析与防御机制研究

    摘要随着远程办公和混合工作模式的普及,Microsoft Teams 与 Slack 等企业级协作平台已成为组织内部通信的核心基础设施。...在本次针对协作平台的攻击中,该组织展现出对Teams与Slack API、OAuth授权流程及企业身份管理系统的深入理解,表明其已具备专业化红队能力。...一旦授权,攻击者即可通过合法API调用访问资源,无需凭证。此类应用通常申请过度权限,如 Mail.Read, Files.Read.All, User.ReadWrite.All。...值得注意的是,由于Teams与Windows深度集成,恶意链接可触发本地协议处理(如 ms-teams:),进一步模糊攻击边界。...4 平台安全机制的局限性尽管Microsoft与Slack均提供安全功能,但在实际部署中存在明显短板:4.1 链接扫描延迟Teams内置的Safe Links功能虽可重写URL并进行实时扫描,但仅对首次点击生效

    18810

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    Microsoft Teams作为全球超3亿用户使用的协作平台,其通知邮件由微软官方域名 teams.mail.microsoft.com 发出,具备完整的SPF、DKIM、DMARC认证。...更棘手的是,Teams通知属于企业日常协作的一部分。在Microsoft 365深度集成的环境中,员工每天可能收到数十条此类通知,早已形成“条件反射式信任”。...虽然平台从Teams变为钉钉、飞书或企业微信,但攻击逻辑一致:利用官方通知的信任感 + 制造紧急场景 + 引导回拨电话。...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

    9510

    AI 协助办公 |记一次用 GPT-4 写一个消息同步 App

    以下是一个使用 Python 和 Flask 库的示例,根据 Slack Event API 将消息发送到 Microsoft Teams 的 Incoming Webhook:import jsonfrom...我们使用 user 字段来获取用户的 ID,然后使用 get_user_info() 函数从 Slack API 中获取用户的完整信息,包括用户名。...使用此函数,我们可以检查用户是否属于 xx 组织。如果为真,则我们将消息转发到 Microsoft Teams,否则我们将其忽略。...在 Slack 应用设置中,您需要申请 "users:read.email" 权限,以便在通过 Web API 请求用户信息时获取带有电子邮件地址的用户数据。...选择要测试的 API 方法:使用左侧的菜单选择要测试的 Slack API 方法。例如,如果您要测试 "chat.postMessage" 方法,请单击左侧菜单中的此方法。

    4.3K120

    stimulsoft mysql_Stimulsoft Server

    Stimulsoft Reports.Server包括服务器端和客户端两部分,还有一个针对不同平台的开放文档API,它支持使用任何现代化编程语言与我们的系统进行交互,因而将Stimulsoft Reports.Server...功能多样性 使用不同的数据格式允许在企业环境下集成Stimulsoft Reports.Server,同时不需要更改其他的服务,直接从数据源导入数据。...输出数据的格式多样,像电子文档一样,从我们自己的(内部用户专有)到传统的企业文档Adobe PDF、MS XPS、MS Word、MS Power Point、MS Excel、Open Document...使用数据渲染过的报表称为报表快照,用户界面和API仍然有对它们的版本访问权。还有,此报表服务器能从选定的数据源创建数据快照,在需要的时候使用数据显示报表。...不同平台API Stimulsoft Reports.Server拥有一组API,允许不同平台的开发人员将报表服务器上的数据吃力功能集成到自己的应用中。

    1.2K20

    基于OneDrive的高级鱼叉钓鱼攻击对C级高管身份安全的威胁与防御机制研究

    ,申请Mail.ReadWrite、Files.Read.All、User.Read等高权限范围,并诱导用户授权(或利用已窃取的管理员令牌静默授权)。...搜索并下载敏感文档:利用Graph API遍历OneDrive与SharePoint中的文件夹,下载包含“NDA”、“Term Sheet”、“Due Diligence”等关键词的文档。...首先,邮件网关依赖静态特征匹配与信誉评分,难以识别使用新注册域名、合法CDN服务且内容高度定制的钓鱼邮件。其次,MFA虽能防止密码复用攻击,但无法抵御AiTM式的实时中继。...以下Python脚本利用Microsoft Graph API实现授权审计:import requestsdef audit_oauth_apps(user_token):headers = {"Authorization...= requests.get(url, headers=headers)approved_apps = ["Microsoft Teams", "Outlook", "Power BI"] # 白名单for

    18110

    多通道钓鱼攻击的演化与行为安全防御模型研究

    攻击者已广泛利用 WhatsApp、Telegram、Slack、Microsoft Teams、Zoom 及 CRM 系统等协作工具实施社会工程攻击,传统基于签名或 URL 黑名单的检测机制在面对跨渠道...然而,现代工作场所的通信栈已演变为包含以下层级的复杂生态:即时消息层:WhatsApp、Telegram、Signal、WeChat Work;企业协作层:Slack、Microsoft Teams、钉钉...例如,通过 Microsoft Graph API 向 Teams 用户推送伪造的“IT 安全警报”;或利用 Telegram Bot 向财务人员发送“CEO 指令”要求紧急转账。...行动诱导(Action Induction):发送包含短链接的“紧急任务”,如“点击此链接更新你的 Okta 凭证”。...3.3 系统架构模型由三层组成:数据摄取层:通过企业授权的 API(如 Microsoft Graph、Slack Events API)收集跨平台通信元数据(非完整内容,以保护隐私);行为图谱构建层:

    15310

    使用 .NET 和Teams Toolkit构建 AI 机器人、扩展Copilot for Microsoft 365以及更多

    此模板利用 Teams AI 库和 AI 组件,简化了使用 OpenAI API 密钥或 Azure OpenAI 创建机器人的过程,以提供 AI 驱动的对话体验。...通过观看此视频了解更多有关 Teams Bot 测试工具的信息:使用 Teams Toolkit 调试 Teams 机器人。(https://youtu.be/IiuAWrZYmoo?...要使用自适应卡预览器,请选择自适应卡定义文件中的 Preview 按钮,然后在右侧进行预览。 通过观看此视频了解有关自适应卡片预览器的更多信息:为 Teams 创建并实时预览自适应卡片。...选择此模板会创建一个新项目,该项目使用 Teams AI 库来简化 Teams 机器人与 OpenAI Assistants API 的连接,以构建引人入胜的对话体验 – 观看有关使用自定义功能的视频,...8,并且新选项卡项目默认使用 Blazor 中的新渲染选项。

    75310

    office365 E5调用api使E5开发者续订 修复版AutoApi (不使用服务器)

    microsoft graph的api,一次调用10个api,5个onedrive的api还有4个outlook的api,剩下一个是组的api,调用一次后延时等待五分钟再重复调用。...记录ID 下面会用到 点击左边管理的证书和密码,点击+新客户端密码,点击添加,复制新客户端密码的值 记录这个值 下面会用到 点击左边管理的API权限,点击+添加权限,点击常用Microsoft API...里的Microsoft Graph(就是那个蓝色水晶), 点击委托的权限,然后在下面的条例搜索以下12个 最后点击底部添加权限 Calendars.ReadWrite 、 Contacts.ReadWrite...自动刷新后,会看到左边有三个流程,一个Run api.Read,一个Run api.Write,一个Update Token。...如果你没有,直接忽略并往下进行,能正常运行就可以了 ) 点击两次右上角的星星(star,就是fork按钮的隔壁)启动action 再点击上面的Action选择Run api.Read或者api.Write

    8K11

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...可编写脚本每日比对已知可信应用列表,自动调用撤销接口:def revoke_consent(grant_id, admin_token):url = f"https://graph.microsoft.com...4.6 Graph API 异常行为监控部署KQL查询,检测异常API调用模式:// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application...5 实验验证在测试租户中模拟攻击流程:注册假冒应用,请求Mail.Read + offline_access;使用普通用户账户完成同意;通过脚本每小时读取100封邮件,持续72小时。

    22110
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券