Proofpoint曝光恶意OAuth应用钓鱼攻击

近日，Proofpoint发现攻击者伪造SharePoint、DocuSign等50余个可信品牌的Microsoft OAuth应用程序，诱骗用户授权访问。攻击利用Tycoon等中间人钓鱼工具包，通过虚假权限请求（如“查看个人资料”）获取凭证及会话令牌，即使受害者重置密码，攻击者仍可凭未撤销的OAuth令牌持久访问邮箱、文件等资源。微软计划于8月完成默认设置更新，限制第三方应用滥用。防御建议：实施BEC防护策略、隔离可疑邮件链接、部署FIDO物理安全密钥，并教育用户识别OAuth风险。