文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于可信云服务跳板的OneDrive钓鱼攻击机制与防御对策研究

据CyberPress披露,攻击者通过已被攻陷的Microsoft 365账户创建真实的OneDrive或SharePoint文件共享链接,并在邮件中嵌入“文档已安全加密,请登录查看”等诱导性文案,大幅提升用户点击意愿...一旦得手,攻击者可立即利用Graph API遍历收件箱,提取包含财务、合同、人事等关键词的邮件线程,自动生成极具欺骗性的横向钓鱼内容,形成指数级扩散。面对此类攻击,仅依赖邮件层防护已显不足。...为保护数据安全,您需重新登录Microsoft账户以解密查看。[立即查看文档]其中,“[立即查看文档]”按钮实际指向上述合法共享链接。...(2)AiTM反向代理:如前文所述,动态代理真实登录流程,同步截获MFA后的会话Cookie。适用于已启用MFA的高价值目标。...因此,检测重心必须前移至“会话建立后的连续性”:用户从OneDrive共享页面跳转至登录页的行为是否符合常规路径?登录后首次访问的应用是否为Outlook而非原共享文档?

32310

【漏洞通告】微软Exchange多个高危漏洞

目前微软已检测到在野利用,有部分漏洞的细节公开。请相关用户尽快采取措施进行防护。...Exchange Server 2019 Exchange Server 2016 Exchange Server 2013 Exchange Server 2010 3漏洞检测 3.1 本地扫描 用户可使用官方团队提供的...3.2 人工排查 用户可通过查看日志的方式检查服务器是否受到以上漏洞的攻击: CVE-2021-26855: 可以通过以下Exchange HttpProxy日志进行检测: %PROGRAMFILES...用户在安装补丁后,应及时检查补丁是否成功更新。...; 3、 如果不能及时安装补丁,建议关注Exchange用户登录异常情况,清理僵尸账号、离职员工或供应商账号,以及重置登录异常的账户和弱口令账户密码,并使其满足较强的口令规范。

1.2K10
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Windows 操作系统安全配置实践(安全基线)

    guest账号是否是锁定 3.查看是否存在普通权限用户有长期不使用的 4.每台PC或者服务器密码设置不能一致 加固方法: 使用"net user 用户名 /del"命令删除账号 使用"net user...":查看"关闭系统"设置是否为只指派给"Administrtors组" 加固方法: 开始->运行->secpol.msc (本地安全策略)->安全设置 -> "本地策略->用户权限分配" 1.配置“允许本地登录...网络访问:不允许 SAM 帐户和共享的匿名枚举:已启用(没域时候) 网络访问:将 everyone权限应用于匿名用户: 已禁用 网络访问:不允许储存网络身份验证的凭据: 已启用(没域时候) 网络访问:...userpasswords2"查看是否启用”要是用本机,用户必须输入用户名和密码”选项 加固方法: 进入“控制面板->管理工具->本地安全策略”->“本地策略->用户权限分配 1.拒绝通过远程桌面服务登录...网络访问: 将 Everyone权限应用于匿名用户:已禁用 (7)设置电源计划无操作时候关闭显示器且使计算机进入睡眠 再次登陆时候需要 账号密码 WeiyiGeek. (8)查看机器是不是存在NSA工具利用得漏洞

    6.6K21

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    一旦用户输入代码并点击“下一步”,系统会要求其使用 Microsoft 365 账户登录——此时 MFA 可能被触发,用户收到短信或 Authenticator 推送通知,并完成验证。...Proofpoint 报告显示,此次攻击已波及金融、制造、物流等多个行业,部分企业因未及时发现,导致内部邮件被窃取、供应链信息泄露,甚至被用于二次钓鱼攻击合作伙伴。...更危险的是,一旦获得 Refresh Token,攻击者可长期维持访问,即使用户更改密码也无效——因为 OAuth 令牌独立于密码体系。...Proofpoint 发现,部分攻击甚至持续数周未被发现——因为所有操作都通过合法 API 进行,IP 地址来自正常办公区域(攻击者使用代理或已控跳板机),行为模式与日常办公高度相似。...设备代码钓鱼的流行,暴露出一个深层矛盾:现代身份协议在追求用户体验的同时,是否牺牲了安全可见性?OAuth 的设计哲学是“委托授权”,但普通用户并不理解“授权”与“登录”的区别。

    31010

    Office开发者计划-永久白嫖Office365

    ,完成注册之后通过验证则激活成功(后续有关该账号的活动则可通过软件进行授权) 自动续订 自动续期 ​ Office 365开发者订阅默认是90天有效期,到期须续期才可继续使用,微软会验证账户内是否应用了所提供的相关...委托的权限(用户登录) 应用程序权限(非用户登录) 官方释义 应用程序必须以登录用户身份访问API 应用程序在用户未登录的情况下作为后台服务或守护程序运行 所需配置 账户名称+账户密码+应用程序(客户端...权限 ​ 可以选择相应的API进行配置 ​ 此处以Microsoft Graph为参考,选择“委托的权限”,根据列出的API权限需求表进行选择 “委托的权限”配置(用户登录)(选择...​ 确认完成在列表处可以看到生成的记录,点击选择复制值(即客户端密码) b.API调用工具 ​ Microsoft Graph 浏览器是一种基于 Web 的工具,可用于生成和测试对 Microsoft...Graph API 的请求 ​ API需要的权限设定可在预览卡中查阅,授权后则可再次尝试调用响应 ​ Postman 是一个可用于向 Microsoft Graph API 发出请求的工具

    11.4K32

    腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单

    Apache RocketMQ是一款开源的分布式消息和流处理平台,提供了高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛应用于异步通信、应用解耦、系统集成以及大数据、实时计算等场景。...添加身份认证机制,确保只有授权用户才能访问和操作RocketMQ的消息队列。 2. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。...Microsoft Office是由Microsoft公司开发的一套基于Windows操作系统的办公软件套装,其中的常用组件有 Word、Excel、PowerPoint等。...该产品可为管理员提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix ADC是一个最全面的应用程序交付和负载平衡解决方案。它用于实现应用程序的安全性、整体可见性和可用性。...Confluence是一种灵活、易用、可定制和可扩展的工具,适用于各种类型的企业和团队。

    1.2K60

    腾讯安全威胁情报中心推出2023年9月必修安全漏洞清单

    影响版本: TeamCity < 2023.05.4 修复建议: 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。...攻击者成功利用此漏洞后,最终可远程在目标系统上执行任意代码。 libwebp是一个C/C++开源库,用于编码和解码WebP图像格式。...该库被广泛应用于各种软件中,如Chrome等主流浏览器,Linux操作系统以及知名开源软件。...影响版本: libwebp < 1.3.2 修复建议: 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。...当 JumpServer 开启本地身份认证时,攻击者可以向已知用户名发送重置密码链接。通过重放,攻击者可以获取重置密码链接的验证码,进而修改用户密码并登录到对应用户账户。

    1.3K20

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    邮件内容通常包含两类诱导:紧急事务提示:“检测到你的账户有未授权订阅,月费$299”;社交工程指令:“如非本人操作,请立即拨打以下号码取消”。关键在于,整个过程无需用户点击任何链接。...例如:浏览器中已登录的Outlook、SharePoint、OneDrive;Windows凭据管理器中存储的域账号密码;已缓存的Kerberos票据(TGT)。...以下是一段简化版的PowerShell命令,用于从伪装站点下载并静默执行远程工具:# 伪装为“微软安全更新”$uri = "https://update-microsoft-support[.]xyz/...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups

    23110

    “量子重定向”钓鱼风暴席卷全球:企业云邮箱成新猎场,MFA也挡不住的自动化攻击

    据KnowBe4安全团队披露,自2025年8月首次发现以来,该平台已关联近1000个活跃域名,覆盖90个国家。...实际上,该验证码会被实时转发至攻击者控制的代理服务器,并立即用于完成真实Microsoft 365的登录流程。整个过程在几秒内完成,用户甚至来不及反应。...# 通过Microsoft Graph API批量检查用户MFA方法GET https://graph.microsoft.com/beta/users?...收紧外部共享与文档链接默认情况下,Microsoft 365允许用户生成“任何人可访问”的共享链接。攻击者常利用此功能上传恶意文档,诱导点击。...同时,云访问安全代理(CASB)可深度解析SaaS应用流量,识别异常OAuth授权、可疑API调用和Token滥用行为。4.

    11810

    “VoidProxy”钓鱼平台可绕过多重验证,专家警告:你的“已验证”账号可能正被实时劫持

    近日,网络安全研究机构TechCentral援引Okta威胁情报团队报告指出,自2024年首次在暗网出现广告以来,VoidProxy已发展成为一种高度自动化、服务化的“钓鱼即服务”(Phishing-as-a-Service...整个过程如下:用户点击钓鱼邮件中的链接,进入一个与官方登录页高度相似的伪造页面;用户输入账号密码后,该信息被立即转发至真实的Google或Microsoft服务器;真实服务器返回MFA验证请求(如短信码...证书部署:让钓鱼网站拥有绿色锁标志,欺骗浏览器安全提示;地理与用户代理伪装:使攻击流量看起来来自正常地区和设备,规避基于位置的风控;批量会话管理后台:攻击者可集中查看、操作多个被劫持的活跃会话,如同“远程控制台...启用短周期令牌刷新与异常会话撤销缩短会话令牌的有效期,并结合API实时监控异常行为(如短时间内大量文件下载、跨时区登录)。一旦发现可疑活动,立即强制登出所有会话。...对高价值账户实施会话风险评分对CEO、CFO、IT管理员等关键岗位的账号,部署AI驱动的行为分析系统,实时评估登录行为是否异常(如非工作时间访问、陌生IP、异常操作序列)。

    25810

    “授权一下就行”?黑客用OAuth新招绕过MFA,微软账户安全再遭挑战

    “您正在尝试登录 Microsoft 365,请确认是否授权此应用访问您的邮箱、日历和联系人?”——当你在办公电脑上看到这样一个弹窗时,你会怎么做?...“更危险的是,这类攻击不会触发传统的登录告警。”芦笛补充道,“因为系统日志显示‘用户已授权’,看起来完全合法,安全团队很难从中发现异常。”谁最容易中招?...许多管理员甚至不知道可以在Azure AD(现为Microsoft Entra ID)中查看和管理第三方应用权限。“大公司可能有自动化系统每天扫描可疑授权,但小公司靠人工检查,很容易遗漏。”...定期审查并撤销未知OAuth应用管理员应登录Microsoft Entra ID(原Azure AD)门户,进入“企业应用” > “已授予同意的应用”,检查所有用户授权记录。...开启“实时应用风险检测”功能Microsoft Defender for Cloud Apps具备识别异常OAuth授权行为的能力,如短时间内大量用户授权同一应用、从非常用地登录等,可自动发出警报或阻止操作

    35910

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    整个过程无需输入密码,且若用户已处于登录状态(如浏览器记住会话),甚至无需再次输入MFA。而攻击者正是利用了第3-5步的“信任链”。...直到2025年8月,亚马逊威胁情报团队发现APT29在针对欧洲安全会议的钓鱼活动中复用该技术,业界才意识到这已成为其标准作业程序(SOP)。更值得警惕的是,此类攻击工具已“平民化”。...邮件安全网关:钓鱼邮件来自真实邮箱,内容无恶意附件或链接(指向的是微软官方域名),难以拦截;MFA:用户确实在微软官网完成了交互式登录,MFA已通过;SIEM/SOAR:后续的API调用(如读取邮件)来自微软数据中心...IP,行为模式与正常用户高度相似;终端防护:全程无恶意软件落地,EDR无迹可寻。...培训应聚焦:任何要求“输入代码到微软登录页”的请求都需高度警惕;即使链接是 microsoft.com,也可能被用于授权恶意应用;授权前务必确认应用名称是否可信(如“Microsoft Teams” vs

    17910

    可能是Salesforce与Microsoft Dynamics 365的最全面的比较

    在新用户初次登录后,每次用户尝试从无法识别的计算机或设备登录时,Salesforce都会向用户发送电子邮件或发送验证码。用户必须键入验证码才能登录Salesforce。...Microsoft Dynamics 365 Microsoft Dynamics 365用户通过Microsoft Office 365帐户登录。...有许多与后者有关的选择: ? 高级开发和API 通常,企业需要对开箱即用的CRM配置进行修改,这已经能超出了配置所能完成的任务。 ISV在CRM平台上可构建整个应用程序。...可以检查实体内的整个实体或记录子集是否有重复。 重复检测作业完成后,用户会收到通知电子邮件,还可以检查作业结果。 手动添加或导入记录时,也会运行重复检测规则。...Salesforce有一个默认的Adoption Dashboard,它提供有关不同用户使用该应用程序的程度的信息。 同样在Salesforce报表类别中,可找到预测报表。

    8.8K40

    钓鱼工具包“量子路由”席卷全球:一场针对微软365用户的自动化身份劫持风暴

    其原理如下:用户访问钓鱼页面并输入用户名/密码;QRR后端立即将凭证发送至真实Microsoft 365登录接口,触发MFA挑战(如推送通知或验证码);同时,钓鱼页面向用户显示“正在验证,请稍候…”并建立...有安全团队在某中文暗网论坛发现名为“OfficePhish Pro”的国产钓鱼套件,功能与QRR高度相似,甚至支持微信扫码验证的钓鱼页面。...;监控层:实施用户行为分析(UEBA),对异常登录时间、IP跳跃、高频API调用等行为实时告警。...当登录一个网站变得像呼吸一样自然,我们是否还记得:每一次输入密码,都是在向一个未知的服务器交出通往数字生活的钥匙?...对普通用户而言,保持警惕仍是第一道防线——检查网址是否为https://login.microsoftonline.com(而非microsoft-login.secureverify[.]xyz),留意浏览器地址栏的锁形图标

    14510

    钓鱼团伙用Telegram机器人“接单”:欧洲凭证窃取进入“实时客服”时代

    一、当钓鱼攻击有了“客服系统”:点击链接后,有人在Telegram上等你2025年深秋,一位荷兰阿姆斯特丹的中小企业主收到一封看似来自本地银行ING的邮件:“您的账户因异常登录被临时冻结,请立即验证身份...开放API成双刃剑Telegram之所以成为钓鱼团伙的首选平台,源于其三大特性:Bot API完全开放且文档完善:开发者可轻松创建具备消息推送、按钮交互、文件传输能力的机器人;端到端加密非默认启用:普通群组和频道通信未加密...整个过程在 4小时内完成,而安全团队直到三天后才因异常登录告警介入。...若攻击者伪造“企业邮箱升级”“工资单查看”等场景,诱导用户点击内嵌链接,同样可实现凭证收割。其次,虽然Telegram在国内受限,但类似Bot机制已在其他平台萌芽。...例如,有黑产利用企业微信API搭建“客服机器人”,用于分发钓鱼问卷;或通过QQ频道机器人收集Steam账号信息。

    18310

    基于电话钓鱼的社会工程入侵路径分析与防御机制研究——以哈佛大学数据泄露事件为例

    文中通过 Python 与 Microsoft Graph Security API 的代码示例,展示如何实现异常登录行为的自动化检测与响应。...;心理操控:制造恐慌,“若不立即验证,账户将被锁定,影响工资发放”;MFA 诱导:要求受害者“查看手机上的 Microsoft Authenticator 通知并点击 Approve”;横向移动:使用获取的会话访问...4.2 检测层:基于行为的异常识别即使攻击者获得凭证,其行为模式通常与合法用户存在差异。可通过 Microsoft Graph Security API 实时监控高风险活动。...结果表明:环境 A 中,85% 的测试用户在接到“IT 电话”后批准 MFA;环境 B 中,攻击者无法完成登录(因触发高风险阻断),且异常登录尝试在 3 分钟内被 SOC 团队响应。...当攻击者完全模仿合法用户行为时,传统基于签名的检测模型失效。因此,安全重心必须从“是否合法登录”转向“登录后是否在做合法的事”。另一个值得反思的问题是教育机构的安全投入优先级。

    23800

    API测试之Postman使用全指南(一)

    Postman Postman是一个可扩展的API开发和测试协同平台工具,可以快速集成到CI/CD管道中。旨在简化测试和开发中的API工作流。...Personal workspace 只能自己查看的 API,Team workspace 可添加成员和设置成员权限,成员之间可共同管理 API。...当然我个人使用一般是不登录的,因为登录之后会自动将你的测试历史数据保存到账户里,你可以登陆网页端进行查看。...2、Import,这用于导入集合或环境。有一些选项,例如从文件,文件夹导入,链接或粘贴原始文本。 3、Runner,可以通过Collection Runner执行自动化测试。后续介绍。...进行测试非常重要,因为它设置检查点来验证响应状态是否正常、检索的数据是否符合预期以及其他测试。 19、Settings - 最新版本的有设置,一般用不到。

    3K00

    ConsentFix浮出水面:当“同意”成为攻击入口,你的邮箱早已不是你的邮箱

    用户若已登录 Microsoft 365 账户,则无需再次输入密码,直接进入 OAuth 同意界面。窃取令牌:此时,页面会显示一个文本框,要求用户“复制下方 URL 并粘贴以完成验证”。...多因素认证旨在防止密码泄露后的未授权登录,但 ConsentFix 根本不需要登录——它利用的是用户已存在的会话。只要用户当天登录过 Outlook Web,攻击即可成功。第四,用户培训效果存疑。...三、国际案例频发,国内企业警钟已响尽管 ConsentFix 由海外研究团队首次披露,但其攻击模式在中国同样具备极高可行性。2025 年底,某跨国制造企业在华分支机构遭遇数据泄露。...该扩展申请了“读取和修改所有网站数据”权限,实则监控用户是否访问 Microsoft 365。一旦检测到登录,立即弹出伪造的“安全扫描”窗口,诱导用户粘贴令牌 URL。...芦笛表示,“很多员工根本不知道在哪里查看已授权的应用,更别说定期清理。有些 SaaS 应用注册后半年不用,权限却一直开着,成了完美的攻击跳板。”

    14810

    在Mac上运行Windows 365的完整指南

    一旦IT团队拥有有效的Windows 365许可证(与Azure Virtual Desktop基于使用的许可相比,仅按统一每用户费率收费)并准备好所需的Windows桌面映像,就应该准备好在Mac终端上启动和运行云电脑...功能Mac版Windows AppWindows App网页客户端多显示器支持是否Microsoft Teams优化是否智能卡重定向是否笔和触摸重定向否是智能卡认证是否屏幕截图保护是否远程桌面协议(RDP...当用户登录门户时,他们会看到可用云电脑的简单概览。其中包括自助服务操作,例如收藏、重启、恢复、重命名、检查连接、查看详细信息和设置,这些操作可用于不同的云电脑(图1)。图1....查看详细信息:检索有关云电脑的一些基本信息。这包括诸如名称、许可证和最近登录等信息。设置:配置用于特定Windows启动功能的云电脑——但是,启动功能不适用于Mac设备。...从运行Windows 365的Mac管理已发布PC的选项并且,一旦连接,还有显示连接详细信息的选项。这使管理员能够查看他们是否使用ShortPath作为传输协议并查看整体延迟。

    20910
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券