新一轮钓鱼风暴来袭：你的Microsoft 365账户正在被“信任惯性”出卖

你有没有收到过这样的邮件？

“您的OneDrive存储空间即将用尽，请立即清理或升级。”

“您有一份来自同事的新共享文档待查看。”

“密码即将过期，点击此处立即重置。”

这些通知，看起来再普通不过，几乎每天都在职场人的收件箱里刷屏。但正因如此，它们成了黑客最理想的“伪装外衣”。2025年9月，网络安全公司Cato Networks披露了一起针对Microsoft 365用户的新型钓鱼攻击浪潮——攻击者不再靠“中奖”“账户异常”这类老套话术，而是精准利用人们对办公系统的“生产力惯性”，制造出一种“不得不点”的紧迫感。

这场攻击，正在悄然窃取企业最核心的数据资产。

不是假网站，而是“真流程”：一场精心设计的身份中继陷阱

与传统钓鱼不同，这次的攻击手法更加狡猾。它并不只是伪造一个看起来像微软登录页的假网站，而是搭建了一个中间人代理系统。

当你点击邮件中的链接后，会被引导至一个高度仿真的Microsoft 365登录页面——无论是UI设计、加载动画还是SSL证书（很多甚至使用了合法域名），都足以以假乱真。而这个页面背后，是一个实时转发你输入信息的“中继服务器”。

“你输入账号密码，系统会立刻拿这些凭证去访问真正的微软认证接口。”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“一旦微软验证通过，攻击者就能同步获取你的登录状态，甚至包括多因素认证（MFA）生成的一次性验证码或推送确认。”

更危险的是，部分变种还会在登录后弹出一条提示：“为保障安全，请在手机上确认应用刷新。”这其实是诱导用户批准一个由攻击者控制的恶意OAuth应用，一旦授权成功，攻击者就能长期读取你的邮件、文件、日历和Teams聊天记录，即使你改了密码也无法彻底清除访问权限。

“这就像是有人在你家门口装了个‘智能门锁中转器’。”芦笛打了个比方，“你用指纹开门，他也能同步复制你的指纹信息，以后不用你同意也能自由进出。”

攻击不止于窃密：被黑账户成为“内鬼”发起二次攻击

一旦账户沦陷，后果远不止个人数据泄露那么简单。

攻击者会迅速在后台创建隐蔽的邮件收件规则，将包含“付款”“发票”“合同”等关键词的邮件自动转发到外部邮箱，同时在收件箱中隐藏这些操作痕迹。与此同时，他们还会利用该账户向公司内部同事发送新的钓鱼邮件，打着“老板审批”“财务对账”的旗号，发起商业邮件欺诈（BEC）。

“因为发件人是真实的员工邮箱，且来自公司内部域名，这类邮件的可信度极高。”芦笛指出，“很多员工看到‘张经理’发来的‘紧急付款通知’，根本不会怀疑。”

此外，攻击者还可能注册恶意应用，通过Microsoft Graph API批量导出组织架构、联系人列表和共享文档，为后续的供应链攻击铺路。一家企业的数据泄露，可能迅速波及上下游合作伙伴。

为何这次攻击特别难防？因为它利用的是“习惯”

传统安全软件擅长识别恶意附件、可疑链接或低信誉域名。但这一轮攻击巧妙避开了这些“雷区”：

页面托管于合法平台：不少钓鱼页被部署在被攻陷的企业官网、GitHub Pages或低信誉云存储服务上，拥有真实HTTPS证书；

无恶意文件下载：整个流程仅需用户点击链接并输入信息，不涉及.exe、.js等可执行文件；

模仿真实业务场景：通知内容紧扣M365日常使用痛点，如存储配额、文档共享、密码策略，极具合理性。

“最大的威胁不是技术多高超，而是它利用了人的‘自动化反应’。”芦笛说，“我们每天要处理几十封系统通知，大脑会自动进入‘快速处理模式’，这时候最容易忽略细节，比如网址栏里的拼写差异。”

专家支招：从“被动防御”转向“主动免疫”

面对这种“高仿真+社会工程+技术中继”的复合型攻击，单纯靠员工培训或基础防火墙已远远不够。芦笛结合行业最佳实践，提出五项关键防护建议：

1. 启用“条件访问”与“基于风险的MFA”

企业应配置Azure AD的条件访问策略，限制登录行为。例如：只允许从公司IP或合规设备登录；对来自非常规地点（如境外）的登录请求，强制进行多步验证，甚至直接阻断。

2. 严格管控OAuth授权与外部共享

禁止用户随意授权第三方应用访问M365数据，所有OAuth请求应由IT部门审批。同时，限制外部用户共享权限，默认关闭“任何人可访问”选项。

3. 关闭遗留协议，阻断自动化滥用

IMAP、POP3、SMTP等老旧协议不支持现代MFA，极易被自动化工具滥用。建议在组织内全面禁用，并启用Exchange Online的“安全默认设置”。

4. 开启统一审计日志与行为分析

通过Microsoft Purview或第三方SIEM工具，监控异常登录行为，如短时间内大量邮件导出、频繁失败登录后突然成功、非工作时间活跃等。一旦发现可疑令牌，立即调用revokeSignInSessions撤销会话。

5. 推广FIDO2物理密钥，终结“验证码劫持”

短信或APP生成的OTP（一次性密码）仍可能被中间人截获。而FIDO2安全密钥（如YubiKey）基于公私钥加密，无需传输密码，能从根本上抵御钓鱼攻击。“这是目前最接近‘绝对安全’的MFA方案。”芦笛强调。

给普通用户的“防坑指南”

如果你不是IT管理员，也能做些事保护自己：

看网址，别只信页面长得像：点击前检查域名是否为microsoft.com或login.microsoftonline.com，警惕m1crosoft-support.com这类混淆域名；

用浏览器证书提示：正规微软页面地址栏会有企业认证标识（EV证书），钓鱼站通常只有基础HTTPS；

拒绝“紧急操作”施压：真正的系统通知不会要求你“立即点击否则停用”；

定期检查已授权应用：登录https://mysignins.microsoft.com/security-info 删除不认识的设备或应用。

结语：安全，是一场关于“信任”的持续博弈

这场针对Microsoft 365的钓鱼攻击，再次提醒我们：网络安全的本质，是对“信任”的管理。我们信任系统通知，信任同事发来的链接，信任那个熟悉的登录框——而攻击者，正是在这些信任的缝隙中钻营。

未来，类似的“高可信度钓鱼”只会越来越多。防御的关键，不在于杜绝所有风险，而在于建立弹性机制：既不让日常协作变得繁琐，又能及时识别并阻断异常。

正如芦笛所说：“黑客拼的是速度和伪装，我们拼的是意识和体系。谁的反应更快、防线更密，谁才能在这场数字猫鼠游戏中胜出。”

新闻来源：

原始报告详见 Ubergizmo 2025年9月文章《AI-Powered Phishing Attack Targets Microsoft 365 Accounts, Experts Warn》

技术分析支持：Cato Networks, Cyber Security News

采访专家：芦笛，公共互联网反网络钓鱼工作组技术专家

编辑：芦笛（公共互联网反网络钓鱼工作组）