文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

向 Azure AD 请求设备代码client_id = "ATTACKER_APP_ID" # 攻击者注册的恶意应用IDscope = "https://graph.microsoft.com/.default"resp...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近...而用户根本看不到应用名称——除非仔细点击“查看详细信息”,否则默认只显示“此应用请求访问您的数据”。“大多数人在赶时间,根本不会点开看。”...芦笛建议,“例如,在设备代码授权页面强制显示应用名称、开发者信息、请求权限列表,并用红色高亮‘此操作将授予第三方长期访问权限’。”

30610

多通道钓鱼攻击的演化与行为安全防御模型研究

攻击者已广泛利用 WhatsApp、Telegram、Slack、Microsoft Teams、Zoom 及 CRM 系统等协作工具实施社会工程攻击,传统基于签名或 URL 黑名单的检测机制在面对跨渠道...然而,现代工作场所的通信栈已演变为包含以下层级的复杂生态:即时消息层:WhatsApp、Telegram、Signal、WeChat Work;企业协作层:Slack、Microsoft Teams、钉钉...例如,通过 Microsoft Graph API 向 Teams 用户推送伪造的“IT 安全警报”;或利用 Telegram Bot 向财务人员发送“CEO 指令”要求紧急转账。...3.3 系统架构模型由三层组成:数据摄取层:通过企业授权的 API(如 Microsoft Graph、Slack Events API)收集跨平台通信元数据(非完整内容,以保护隐私);行为图谱构建层:...4 技术实现:跨平台行为分析原型以下为简化版 Python 原型,展示如何从 Slack 与 Teams 日志中提取特征并检测异常请求。

19510
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

    、OneDrive及Teams等核心服务。...攻击者创建名称高度仿真的OAuth应用(如“Microsoft Teams Verify”、“SecureDoc Review”),并通过钓鱼邮件或协作平台消息诱导用户点击授权链接。...、redirect_uri、scope等参数;用户输入凭证并完成MFA;显示OAuth同意页面:列出所请求的权限(如“读取你的邮件”);用户点击“同意”:Microsoft颁发授权码;第三方应用用授权码换取访问令牌...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后,攻击者可调用Microsoft Graph API执行以下操作:# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com

    26710

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    一封来自 no-reply@teams.mail.microsoft.com 的邮件静静躺在某跨国制造企业IT主管的收件箱里。主题是:“你在‘财务Q4结算’会议中被提及”。...Microsoft Teams作为全球超3亿用户使用的协作平台,其通知邮件由微软官方域名 teams.mail.microsoft.com 发出,具备完整的SPF、DKIM、DMARC认证。...更棘手的是,Teams通知属于企业日常协作的一部分。在Microsoft 365深度集成的环境中,员工每天可能收到数十条此类通知,早已形成“条件反射式信任”。...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

    22010

    设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

    尽管设计初衷合理,但该机制在实际应用中暴露出严重的安全盲区——攻击者可诱导用户在真实的微软登录页面输入由攻击方生成的设备代码,进而完成恶意应用的授权绑定。...);调用设备授权端点,获取device_code和user_code;通过钓鱼邮件、Teams消息或短信向目标用户发送诱导信息,例如:“您的账户需进行安全验证,请立即访问 https://microsoft.com...Graph API,读取邮件、日历、联系人,甚至创建新应用或修改权限。...假设攻击者已注册一个Azure AD应用,client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”,并申请了以下API权限:Microsoft Graph: Mail.ReadWrite...组织应开展针对性培训,强调:微软绝不会通过邮件/短信要求用户“输入设备代码”;所有授权操作应明确显示请求权限的应用名称与发布者;用户可在 https://mysignins.microsoft.com/

    24410

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    ,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等,完全绕过前端UI与MFA提示。...例如,若受害者通常使用Windows 11 + Chrome 124访问Office 365,攻击者将配置代理以相同特征发起API请求,使登录活动在审计日志中呈现为“正常行为”。...Microsoft Graph提供/revokeSignInSessions API,可编程终止可疑会话:import requestsdef revoke_suspicious_sessions(user_id...(三)浏览器内令牌绑定(DPoP)推动SaaS供应商支持OAuth 2.0 DPoP规范。DPoP要求客户端在每次API请求中附带一个由私钥签名的证明令牌,该私钥与TLS连接绑定。

    24610

    凭证窃取主导下的现代网络攻击链演化与防御体系构建

    SaaS生态扩张带来的权限碎片化:企业平均使用287个SaaS应用(McKinsey, 2024),每个应用均需独立身份绑定。...此过程中,攻击者无需部署恶意软件,全程利用合法API调用,规避传统EDR检测。思科报告显示,73%的勒索事件中,攻击者在获得凭证后4小时内完成数据加密或外传。...典型场景包括:邮件+Teams/Slack消息联动:先发送看似合法的发票邮件,再通过即时通信工具“跟进”:“您收到财务部的付款请求了吗?请尽快确认。”...4.4 管理层:文化与流程重塑部署对话式钓鱼模拟:不同于传统一次性测试,采用持续性、上下文感知的模拟(如模拟IT部门在Teams中询问“是否收到安全更新邮件?”),提升员工警惕性。...Graph API /users/{id}/revokeSignInSessions;发送Teams通知至用户及IT支持;创建Jira工单要求用户完成安全培训;更新IAM策略,强制启用FIDO2。

    25510

    利用协作平台的钓鱼攻击:以Microsoft Teams与Slack为例的技术分析与防御机制研究

    摘要随着远程办公和混合工作模式的普及,Microsoft Teams 与 Slack 等企业级协作平台已成为组织内部通信的核心基础设施。...在本次针对协作平台的攻击中,该组织展现出对Teams与Slack API、OAuth授权流程及企业身份管理系统的深入理解,表明其已具备专业化红队能力。...3.2 钓鱼页面与实时凭证窃取点击链接后,用户被重定向至高度仿真的Microsoft 365登录页。页面不仅复刻品牌UI,还动态显示用户所在企业的租户名称(通过SAML请求中的whr参数获取)。...4 平台安全机制的局限性尽管Microsoft与Slack均提供安全功能,但在实际部署中存在明显短板:4.1 链接扫描延迟Teams内置的Safe Links功能虽可重写URL并进行实时扫描,但仅对首次点击生效...Scattered Spider等组织利用平台的信任属性、API开放性与用户心理弱点,构建了高效且隐蔽的钓鱼攻击链。

    27110

    高级OAuth钓鱼攻击的演化机制与防御体系构建

    向令牌端点换取访问令牌与刷新令牌;Client使用访问令牌调用受保护资源(如Microsoft Graph API)。...由于应用名称与图标可自定义,且权限描述使用通用术语(如“读取您的邮件以提供服务”),用户极易误判为合法请求。...获得令牌后,攻击者通过Microsoft Graph API执行侦察:import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers...以下Python脚本利用Microsoft Graph API实现自动化审计:import requestsfrom datetime import datetime, timedeltadef audit_shadow_apps...未来研究方向包括:基于行为分析的异常授权检测(如用户通常不在凌晨3点授权新应用)、OAuth令牌的硬件级绑定(如TPM)、以及推动OAuth 2.1标准中require_pushed_authorization_requests

    28610

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    # 攻击者侧:使用Microsoft Graph API发起设备代码请求(简化示例)import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...(2)审计第三方应用授权所有用户都应定期检查其Microsoft 365账户的“隐私仪表板”中的应用权限:https://account.microsoft.com/privacy/管理员则可通过PowerShell...例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。(4)员工意识培训需升级传统“别点可疑链接”已不够。...培训应聚焦:任何要求“输入代码到微软登录页”的请求都需高度警惕;即使链接是 microsoft.com,也可能被用于授权恶意应用;授权前务必确认应用名称是否可信(如“Microsoft Teams” vs

    17710

    AI 协助办公 |记一次用 GPT-4 写一个消息同步 App

    将此端点 URL 配置到你的 Slack Outgoing Webhook 中。在处理收到的 Webhook 时,我们提取请求中的文本和用户名。...使用 Slack Event API 时,需要修改代码以处理不同类型的事件,并确保验证来自 Slack 的请求。...如果现有代码中包含其他名称,您可以将其添加到条件检查中进行过滤。调试程序我:这个 event 中并不包含 username 的信息,改一下代码?...在 Slack 应用设置中,您需要申请 "users:read.email" 权限,以便在通过 Web API 请求用户信息时获取带有电子邮件地址的用户数据。...设置 bot 的显示名称和默认用户名。在 "Install App" 页面中,单击 "Install App to Workspace" 并授权它访问您的 Slack Workspace。

    4.4K120

    Black Basta泄露事件揭示的谷歌账户钓鱼与接管风险研究

    这些日志不仅包含受害者名单、赎金谈判记录、内部分工指令,更详细记载了多种初始入侵技术,其中尤以针对Microsoft Teams与Google Workspace账户的钓鱼攻击最为突出。...ReliaQuest等安全机构在分析后指出,泄露数据中多次提及两名Exploit论坛用户——SebastianPereiro与marmalade_knight,前者涉及Microsoft Teams零日漏洞讨论...验证通过后,Google Identity Provider(IdP)会颁发一组短期有效的ID Token(用于身份声明)与Access Token(用于API调用),同时在用户浏览器中设置多个HttpOnly...它们由Google服务器加密生成,绑定特定设备指纹与IP地址范围,并用于后续请求的身份验证。只要这些Cookie有效且未被主动登出,用户无需重复输入密码或MFA即可持续访问服务。...(二)Microsoft Teams诱导式载荷投递另一种更隐蔽的手法是通过伪造IT部门通知,在Microsoft Teams中发送“安全更新”或“账户验证”链接。点击后,用户被引导至上述钓鱼页面。

    19310

    sqlserver创建视图索引「建议收藏」

    “属性” 注意 DETERMINISTIC = TRUE 必须显式声明为 Microsoft .NET Framework 方法的属性。...–视图名称。 视图名称必须符合有关标识符的规则。 可以选择是否指定视图所有者名称。 [dbo][.]视图名称 –视图中的列使用的名称。...schemabinding –指定为引用视图的查询请求浏览模式的元数据时, SQL Server 实例将向 DB-Library、ODBC 和 OLE DB API 返回有关视图的元数据信息,而不返回基表的元数据信息...--视图名称。 视图名称必须符合有关标识符的规则。 可以选择是否指定视图所有者名称。 dbo.indexview1 --视图中的列使用的名称。...schemabinding --指定为引用视图的查询请求浏览模式的元数据时, SQL Server 实例将向 DB-Library、ODBC 和 OLE DB API 返回有关视图的元数据信息,而不返回基表的元数据信息

    4.6K20

    议会邮箱成“数字前线”!英国议员频遭高精度鱼叉钓鱼,国家级黑客正瞄准民主神经中枢

    案例2:滥用Microsoft Teams链接更狡猾的是,部分攻击直接利用合法协作工具。邮件正文写道:“相关文件已上传至Teams频道,请点击此处查看。”...链接指向一个伪造的Microsoft登录页(域名如 microsoft-teams-login[.]xyz),界面与真实Azure AD登录页几乎一致。...,制造“登录成功”假象return redirect('https://teams.microsoft.com/')这种攻击能绕过绝大多数基于签名的检测机制,因为整个流程发生在合法HTTPS通道中。...以下是一个基于Microsoft Graph API的示例:# check_forwarding_rules.pyimport requestsGRAPH_API_URL = "https://graph.microsoft.com..."ACCESS_TOKEN = "your_app_token_with_mail_read_permissions"def get_inbox_rules(user_email):url = f"{GRAPH_API_URL

    14910

    《ASP.NET Core 微服务实战》-- 读书笔记(第3章)

    它的天然特点就是严格遵守单一职责原则。 为什么要用 API 优先 所有团队都一致把公开、文档完备且语义化版本管理的 API 作为稳定的契约予以遵守,那么这种契约也能让各团队自主地掌握其发布节奏。...遵循语义化版本规则能让团队在完善 API 的同时,不破坏已有消费方使用的 API。 作为微服务生态系统成功的基石,坚持好 API 优先的这些实践,远比开发服务所用的技术或代码更重要。...在真实世界的服务里,不应该在内存中存储数据,因为会违反云原生服务的无状态规则。 接下来创建一个接口表示仓储,并重构控制器来使用它。...://localhost:8080 作为服务的主机名 下面的 curl 命令会向服务的 /teams 资源发送一个 POST 请求 $ curl -H "Content-Type:application...[]} 注意上面片段的响应部分,members 属性是一个空集合。

    1.2K20

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和...此时,受害者实际上是在向攻击者控制的应用授权!一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...(4)员工培训升级:从“防链接”到“防授权”培训内容需更新:任何要求“输入代码到微软登录页”的请求都需警惕;授权前务必确认应用名称是否可信(如“Microsoft Teams” vs “FileShare...Tool”);定期检查 https://account.microsoft.com/privacy/ 中的应用权限列表。...Dec 2025.Microsoft Security Blog. Disrupting threats targeting Microsoft Teams.

    16910

    使用树莓派打造面部识别安全设备

    Microsoft Azure云存储服务 动手实践 关于项目: 该设备使用Microsoft Project Oxford面部识别方案,检测访问者是否为房子的所有者,通过验证之后会立马打开房门,否则系统将向房屋所有者绑定的移动设备推送一条警告信息...使用/集成的服务 Azure storage云存储服务 Microsoft Project Oxford: 面部识别API 使用ASP.Net SignalR将所有者的行为发送给树莓派 使用WNS向移动设备发送通知信息...移动侦测的捕捉影片命令会将获取到的访问者面部图像,发送到Project Oxford服务器进行识别。如果确认为该房屋的所有者,伺服马达将打开房门;否则将获取到的访问者面部图像发送到绑定的移动设备。...如果房屋所有者选择打开房门,命令将通过后端服务的SignalR推送给树莓派,然后打开房门。 当在识别访问者过程以及传感器进行必要操作期间,IsActive属性不能被设置为假。...Project Oxford: Face API Face API是一个基于云计算的API,其提供了当前最先进的人脸检测识别的算法。

    1.5K80
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券