文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于Microsoft Teams通知通道的回拨型钓鱼攻击机制与防御体系研究

在通话过程中,攻击者冒充IT支持或第三方服务商,引导受害者执行远程控制软件安装、凭证输入或系统配置更改等高危操作,从而绕过传统基于链接或附件的检测机制。...可轻易绕过大多数邮件安全网关;第二,通知内容模拟真实Teams交互场景(如“有人在会议中提及你”),具有高度上下文合理性;第三,攻击最终发生在语音通话这一非结构化、非日志化的通道中,传统EDR(端点检测与响应...Microsoft官方亦多次警告Teams功能被滥用于恶意目的。2024年,微软安全响应中心(MSRC)披露攻击者通过创建恶意Teams团队并邀请目标用户,触发系统自动生成通知邮件。...三、攻击机制深度解析(一)攻击入口:伪造Teams通知邮件攻击者首先创建一个名称具有迷惑性的Teams团队(如“PayPal_Invoice_Support”或“IT_Security_Alert”),...此外,Microsoft Teams管理员应启用以下治理措施:限制外部用户创建团队;监控异常团队命名(如含“invoice”“support”);启用“来宾访问审核”日志,追踪邀请来源。

22410

基于OAuth滥用的定向钓鱼攻击与防御机制研究

该团伙通过仿冒“贝尔格莱德安全会议”(BSC)与“布鲁塞尔印太对话”(BIPD)等高信誉活动,搭建高度仿真的注册网站,诱导目标使用Microsoft或Google账户进行OAuth授权登录。...关键词:OAuth钓鱼;中间人代理;UTA0355;定向攻击;Microsoft Entra ID;Google Workspace;条件访问策略1 引言随着单点登录(SSO)和第三方授权在企业数字化生态中的普及...在Microsoft Entra ID中,可配置“用户同意设置”,禁止用户向未批准的应用授予权限:# PowerShell: 禁止用户同意所有应用Set-MgPolicyAuthorizationPolicy...该流程因无需用户在钓鱼页面输入任何信息,传统基于表单提交的检测完全失效。未来,云服务商应考虑在设备码授权时增加二次确认(如短信验证码),或限制非交互式流程的权限范围。此外,会议主办方亦负有安全责任。...建议所有官方活动在官网显著位置公示唯一报名渠道,并启用DMARC、BIMI等邮件认证技术,防止品牌被仿冒。

28510
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    一封来自 no-reply@teams.mail.microsoft.com 的邮件静静躺在某跨国制造企业IT主管的收件箱里。主题是:“你在‘财务Q4结算’会议中被提及”。...典型话术包括:“我们监测到您的账户在尼日利亚有异常登录,为保护数据安全,请配合远程诊断。”“您刚才的Teams会议中分享了敏感文件,系统自动冻结了权限,需手动解除。”...更棘手的是,Teams通知属于企业日常协作的一部分。在Microsoft 365深度集成的环境中,员工每天可能收到数十条此类通知,早已形成“条件反射式信任”。...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

    25710

    黑客拿来入侵微软视频会议软件

    CyberArk发现了该漏洞,影响范围波及客户端和网页版的app用户。该团队发现该漏洞后在3月23日报送给微软,微软在4月20日发布的更新中修复了该漏洞。...Microsoft Teams是类似Zoom的一款视频会议软件,在COVID19期间也是见证了用户视频使用需求的崛起,世界范围的企业、学生、政府雇员都必须使用视频会议软件来进行工作和社交。...这就是问题所在,研究人员能够获得一个authtoken cookie,该cookie授予对资源服务器(api.spaces.skype.com)的访问权限,并使用它来创建上述的“ skype令牌”,因此他们具有很大的不受限制的权限...,可以发送消息、阅读消息、创建群组、添加新用户或从群组中删除用户,甚至通过Teams API更改群组中的权限。...参考链接: GIF图像如何使攻击者入侵Microsoft Teams帐户 小心GIF:Microsoft Teams中的帐户接管漏洞

    2.2K10

    Office Web Apps

    用户可以通过 Windows Live SkyDrive 服务(Microsoft 的免费在线存储区域)保存各自的文档 ,SkyDrive 完全是一个联机存储站点。...使用 SharePoint 的企业可以为这些文档创建存储库,以将其内部存储在他们的 SharePoint 服务器中。...最后,使用特定 Microsoft 在线服务(如 SharePoint Online)的公司可以将文档存储在云中。...首先,在 Word 中创建或打开一篇文档,然后单击“文件”菜单访问 Backstage。初次使用 Office 2010 时,可通过 Backstage 快速保存和打开文档及运行其他常用命令。...可以通过 Web Apps 与他人共享文档,要求您通过电子邮件向每个人发送指向您的文档的链接,具有 Windows Live 帐户并具有访问权限的用户可以在线查看和编辑这些共享文档。

    4.5K100

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时比喻道,“设备代码钓鱼的可怕之处在于,它利用的是用户对微软官方域名的信任,以及对‘授权’行为的无意识。”...直到2025年8月,亚马逊威胁情报团队发现APT29在针对欧洲安全会议的钓鱼活动中复用该技术,业界才意识到这已成为其标准作业程序(SOP)。更值得警惕的是,此类攻击工具已“平民化”。...(1)立即行动:限制设备代码流最直接有效的措施,是在Azure AD中通过条件访问策略(Conditional Access Policy)禁用设备代码授权。...(2)审计第三方应用授权所有用户都应定期检查其Microsoft 365账户的“隐私仪表板”中的应用权限:https://account.microsoft.com/privacy/管理员则可通过PowerShell...同时,开启风险用户检测(Identity Protection)和异常登录活动告警。例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。

    18710

    探索 .NET团队对API的设计流程

    在本文的其余部分中,我将按照我的理解来解释.NET API设计过程,这些是我根据对这一过程进行了几年的观察而得出的自己的解释,团队所做的大部分工作都是公开发布的,因此可以从他们如何组织.NET Core...在明确方案的情况下,接着继续介绍新的API的要求,它必须实现什么目标,在什么时间范围内?然后是设计本身,该设计包括建议的公共API,但是没有任何实现细节, 这包括设计引入的所有公共方法和类型。...API开始审查,在此会议上,.NET团队的核心专家汇聚一堂,评估方案并确保公共API适合目标框架,这是至关重要的一步,为了兼容性,设计中的错误或疏忽可能会持续很长时间,这意味着API决策需要彻底,团队也希望该...我真正欣赏团队的一点是,他们在YouTube上现场直播了这次会议,任何人都可以观看,尽管有时在会议期间聊天中留下的评论和反馈可能被认为是讨论的一部分,但这主要是一种仅查看的方法,在YouTube上,.NET...,在Microsoft .NET世界中,这必须要考虑全面,因为不一致和性能问题可能是以后要解决的问题。

    60710

    Microsoft 365 Copilot × AI,杀疯了

    在文章中甚至可以为你调整语气内容,给出专业的建议并任你挑选。Copilot 还可以在文稿中提供可行性建议,使打工者的生产力倍增!...」活动,现场会提供午餐 5 Teams × Copilot 移动的小秘书24小时在线 Copilot 能帮你在 Teams 中实时总结项目关键内容;在开会时,它会帮你自动转录;根据你的日程表进行实时提醒...,创建会议日程,大大提升你的工作效率。...总结一下会议内容。到目前为止,已经讲述了哪些内容?我们在这个话题上在哪里存在分歧? 为 [正在讨论的主题] 创建下一步行表格。在做出决定之前,我们还应该考虑哪些要素?...做出了哪些决定,建议的后续行为是什么? 除此之外,Microsoft 365 Copilot 还具有其他一些便利的功能。

    5.3K20

    云计算服务提供商将逐步提供哪些免费服务?

    这个云计算服务可以支持高速文件共享和团队协作。 该公司还提供了一些扩展的免费技术访问权限,以帮助组织加强安全计划,从而保护远程工作的员工免受网络威胁,例如网络钓鱼和黑客攻击。...对于用于虚拟会议和活动的IBM Video Streaming,这个服务包括90天的免费访问以流媒体传输给观众,并包括2万个小时的观看时间,10个频道和1TB的存储。...Rackspace公司 Rackspace公司推出了一项免费服务,现有客户可以在6个月内免费将Microsoft Teams添加到其Office 365帐户中。...Microsoft Teams会议提供高清音频和视频,使用户无论设备或网络如何都可以进行交互和协作。它支持在移动和台式设备上进行一对一的视频通话、会议或交付给数千人的全球现场活动。...他们可以使用Microsoft Teams中的聊天和共享工作区与客户、同事和供应商进行协作。

    3.5K20

    详解CVE-2023-23397:利用Outlook漏洞窃取NTLM凭证

    分析这些补丁的Mdsec团队,发表了一篇研究文章,阐述了如何利用导致Microsoft Outlook权限提升的CVE-2023–23397漏洞。.../漏洞细节当用户收到会议或活动的通知提醒时,可以选择由谁发送要播放的音频文件。...*无法使用NTLMv2哈希值进行哈希传递攻击。希望扩大攻击范围的攻击者需要破解密码。利用步骤在音频文件选择界面中,无法输入例如 \10.10.x.x\test\test.wav 这样的值。...在向用户发送会议邀请时,指定为音频文件的文件,看起来像是位于攻击者设备上的文件。用户收到会议邀请时,不会观察到任何差异,也无需进行任何点击。攻击者已成功获取用户的NTLMv2哈希值。...漏洞利用代码https://github.com/api0cradle/CVE-2023-23397-POC-Powershell解决方案建议在安装了Outlook的设备上,必须安装微软发布的以下更新。

    18810

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...此时,受害者实际上是在向攻击者控制的应用授权!一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...Proofpoint披露,该团伙在2025年11月的一次行动中,通过设备代码钓鱼获取某半导体公司工程师的邮箱权限,进而窃取未公开的芯片设计文档。...使用(如非常规地理位置、高频API调用);使用Microsoft Defender for Cloud Apps设置异常活动告警,如“单用户1小时内下载10GB OneDrive数据”。...Tool”);定期检查 https://account.microsoft.com/privacy/ 中的应用权限列表。

    17310

    Windows SharePoint Services 3.0 Service Pack 1

    displaylang=zh-cn&FamilyID=86eaf23e-7606-4c7a-bd45-3a9fcf861183 5、活动计划:“活动计划”应用程序模板通过使用联机注册、计划、通讯和反馈等方式...资产管理员在系统中审批资产请求并管理资产属性,例如:位置、状况、生产商、型号、当前所有者和估计的价值。...通过使用该模板,团队成员可以上载现有文档或使用基于 Web 的内容创建工具创建新的文档。条目采用相关的识别信息做为标记,以便其他人可以轻易地找到文档并从其组织的集体智慧中学习。...使用该应用程序模板,团队成员可以确定特定房间和/或设备的可用时间并进行预定以在某个指定的时间段内使用。...它不仅具有版本跟踪文档库的功能,还具有按线索组织的讨论列表,可以提供反馈和修订系统。此模板适合那些需要一个集中位置来进行文档审阅、讨论、版本控制和审批的团队。

    2.4K90

    通过替代文本描述使LinkedIn媒体更具包容性

    为了提高站点的可访问性,我们的团队已经开始创建一个工具,该工具可为上传到LinkedIn的图像添加建议的替代文本描述。...类似地,在带宽可能受到限制的地区中,即使图像本身无法加载,这样的描述也能让会员理解图像的关键特性。...由于微软的分析API并没有在LinkedIn数据上进行训练,因此我们期望中的LinkedIn富媒体的置信度评分会更低一些,因为该富媒体的置信度得分应该包含具有特定背景的图像(例如,在上面的表格中,第二行的图像有的在背景中使用了幻灯片...要理解Microsoft Cognitive Services分析API的功能和输出,请查看下面的表,在表2中显示了来自MS-COCO数据集的一些示例,以及来自Microsoft API的标签、描述和置信度列的输出...表2:Microsoft Cognitive Services“分析图像”功能在公共数据集图像上的示例 性能评估 在上一节中,我们介绍了Microsoft Analyze API,以及指出它是如何在特定图像上进行定性的

    1.5K10

    Operation ForumTroll复燃:针对俄罗斯学术界的定向钓鱼攻击分析

    攻击者通过高度定制化的社会工程手段,伪装为学术会议组织方或期刊编辑,投递包含恶意宏的Office文档,利用未修补的旧版Microsoft Office漏洞实现初始入侵。...攻击者显然意图获取尚未公开的政策建议、内部研讨会纪要或与政府机构的合作项目文档。值得注意的是,部分目标曾参与俄罗斯联邦安全会议下属智库项目,表明攻击具有明确的情报导向。...结果:A组中78%的模拟用户启用宏(基于历史点击率数据);B组完全阻断载荷执行;C组因攻击者无法获取有效代码签名证书,亦有效防御。...第二层:检测层部署支持行为分析的EDR系统,监控Office子进程异常;在邮件网关启用沙箱分析,对.doc/.docm附件动态执行检测;建立学术邮件白名单机制,对非合作机构发来的“会议邀请”自动标记。...编辑:芦笛(公共互联网反网络钓鱼工作组)

    15810

    微软颠覆生产力:Copilot推自定义版,AI PC原生支持PyTorch,奥特曼预告新模型

    稍后,微软将向使用 Vector Embeddings API 的开发人员提供此功能,以便人们在应用程序中基于数据构建自己的矢量存储和 RAG。...在本次大会上,微软展示了 Copilot 如何提升组织的团队协作和业务效率。...一是会议主持人。Copilot 通过管理议程和记录会议中共同撰写的笔记,使会议中的讨论更加富有成效。...项目经理:Copilot 通过创建和分配任务、跟踪截止日期以及在需要团队成员输入时通知他们,确保每个项目顺利进行。...最强气氛组 ——OpenAI CEO 奥特曼 在微软官宣了一系列更新后,OpenAI CEO 奥特曼也来到了活动现场以示支持。

    36010

    攻击者部署后门,窃取Exchange电子邮件

    在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。...获取权限后,立刻窃取数据 Mandiant 表示,一旦 UNC3524 成功获得受害者邮件环境特权凭证后,就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365...在一些攻击中,UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳(注:该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联),以创建一个SOCKS 隧道作为进入受害者网络的替代接入点...QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分,该僵尸网络通过默认凭证,破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。...在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange 网络服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft

    1.3K10

    今天,GPT-4登陆Office全家桶,打工人的生产方式被颠覆了

    正如我们无法想象今天没有键盘、鼠标或多点触控的计算,在不远的未来,我们将无法想象没有 Copilot 和自然语言 prompt 的计算。...在 Teams 中,Copilot 能促使集体会议变得更高效、加快对话速度、推进关键讨论点,让整个团队都马上知道下一步该做什么。...将 Copilot 添加到会议和对话中,你还能根据聊天历史记录创建会议议程、确定合适的跟进人员以及安排下一次签到。 举例说明,你能够使用的方法包括: 总结一下我在会议中错过了什么。...给 Copilot 的 prompt 首先会通过 Microsoft Graph(Microsoft 的统一数据 API)进行过滤,以获取更多上下文。.../microsoft-365-ai-copilot-word-outlook-teams 探寻隐私计算最新行业技术,「首届隐语开源社区开放日」报名启程 春暖花开之际,诚邀广大技术开发者&产业用户相聚活动现场

    2.8K50

    保护云中敏感数据的3种最佳实践

    数据显示,2020年有76%的企业在Amazon Web Server(AWS)上运行其应用程序,而63%的企业在Microsoft Azure上运行其应用程序。...根据云安全联盟(CSA)的年度威胁报告指出,第三方云服务中的数据泄漏主要是由于配置错误和变更控制不充分(例如过多的权限、默认凭据、配置不正确的AWS S3存储桶以及禁用的云安全控制)造成的。...而缺乏云安全策略或体系结构正是造成数据泄露的第二个最常见的原因,其次是身份和密钥管理不足,随后还有内部威胁、不安全的API、结构故障以及对云活动和安全控制的有限可见性等等。...他们需要这个权限去了解正在发生的事情,并且还要一个协作环境,在这样的环境中,业务经理能够直接与他们进行沟通,共享其正在运行的新项目或产品,然后让他们对其中涉及的云产品进行评估。...用户通过Box Shuttle将Box连接到其他云服务(例如具有完整数据传输功能的Facebook Workplace)时,Box中便出现了云。

    1.2K10

    针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

    攻击者通常花费数周甚至数月进行开源情报(OSINT)收集,包括议员在议会官网发布的活动日程、社交媒体发言、新闻采访内容及所属委员会职责。...(2.4)横向移动与持久化获取邮箱访问权后,攻击者常利用“自动转发规则”窃取未来邮件,或通过Graph API读取联系人、会议记录,为下一轮攻击提供情报。...:# 列出所有具有Mail.Read权限的非微软应用Get-AzureADUser | ForEach-Object {Get-AzureADOAuth2PermissionGrant -ObjectId...;部署专用安全报告通道:在Outlook中集成一键举报按钮,直连SOC团队,缩短响应时间。...(5.1)系统架构前端:Outlook插件,提供举报按钮与可疑链接预览;中台:基于Microsoft Graph API的行为分析引擎;后台:条件访问策略管理与OAuth授权审计模块。

    20510

    基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

    邀请可通过以下方式发起:手动邀请:管理员或具有“Guest Inviter”角色的用户通过 Azure 门户、Microsoft Graph API 或 PowerShell 发送邀请。...一旦获得权限,攻击者可通过 Microsoft Graph API 发送邀请。...Single User条件:同一用户在 1 小时内发送超过 5 次邀请响应:自动禁用该用户邀请权限并告警Graph API 查询示例:GET https://graph.microsoft.com/v1.0...实验设置:租户 A:默认配置(所有成员可邀请);租户 B:启用“仅限管理员邀请” + 传输规则标记;模拟攻击者账户在两租户中均具备初始访问权限。...通过限制邀请权限、监控异常活动、标记高风险邮件及开展针对性培训,组织可在不中断业务协作的前提下有效阻断此类攻击。

    17600
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券