近期,针对企业用户的网络钓鱼攻击出现新动向。仿冒微软 SharePoint 通知的网络钓鱼攻击在数量和复杂程度上显著增加。攻击者仿冒的域名,嵌入能通过 SPF 和 DKIM 检查的邮件绕过外围过滤器。收件人点击链接后,会经一次性跟踪主机重定向到几乎像素完美的 SharePoint 登录克隆页面,获取凭证和会话 Cookie。与以往不同,这些页面会触发模仿微软基于推送的双重身份验证(2FA)的二次提示。受害者若批准 “新登录尝试”,攻击者就能截取密码和一次性令牌,访问 SharePoint、Teams 及 M365 租户。
此类攻击核心是用 Node.js 编写的透明反向代理,转发流量到合法登录端点并窃取令牌,注入脚本捕获登录参数和 2FA 令牌。代理保持 TLS 会话使安全标头完整,挫败客户端扫描器,且会话结束后删除部署路径,仅留临时日志。各组织需结合域名过滤和多因素身份验证疲劳指标降低风险 。
京公网安备 11010802033237号
