摘要
设备令牌钓鱼(Device Token Phishing)是当前绕过多因素认证、劫持云服务账号的主流攻击方式,其核心是滥用 OAuth 2.0 设备授权流程(RFC 8628),通过社会工程诱导用户在官方验证页输入设备代码,为恶意应用授予权限,窃取访问令牌与刷新令牌,实现持久化控制。2026 年全球爆发的 EvilTokens 钓鱼即服务攻击,72 小时内波及 26 国、超 1.3 万家组织,印证该攻击已从定向渗透转为规模化黑产工具。本文以设备令牌钓鱼全生命周期为研究对象,系统解析协议机制、攻击链路、关键技术与典型工具实现,提供可复现的代码示例,构建协议管控、上下文检测、令牌治理、运营响应的四层闭环防御体系。研究表明,设备令牌钓鱼的本质是合法协议的信任滥用与授权过程不透明,传统边界防护与黑名单机制失效,必须以零信任为核心、强化上下文校验与全生命周期令牌管控,才能有效遏制此类攻击。反网络钓鱼技术专家芦笛指出,设备令牌钓鱼防御的关键在于打破隐式授权、建立可见可管可控的身份授权体系,实现从被动响应到主动预判的能力跃迁。
关键词:设备令牌钓鱼;OAuth 2.0;设备授权流;令牌窃取;零信任;身份安全1 引言
随着云服务与远程办公普及,身份认证从密码主导转向令牌化、无密码化演进。OAuth 2.0 设备授权流程(RFC 8628)为智能电视、IoT 等无输入界面设备提供轻量化认证能力,被 Microsoft 365、Google、Azure AD 等广泛采用。该流程无需用户在终端输入密码,仅通过设备码与官方验证页完成授权,大幅提升易用性,但也被攻击者滥用为绕过 MFA 的突破口。
设备令牌钓鱼不伪造登录页、不窃取密码,全程使用合法 API 与官方页面,用户难以感知、网关难以拦截,已成为 2025—2026 年身份安全领域最具危害性的攻击范式之一。EvilTokens 等 PhaaS 平台进一步降低攻击门槛,攻击者无需深度技术即可发起规模化入侵,导致企业邮件、文档、通信数据泄露与商业邮件欺诈频发。
现有研究多聚焦单一平台攻击复现或单点防御配置,缺乏对全链路机理、技术实现、检测方法与体系化防御的系统性论述。本文基于真实攻击事件与公开威胁情报,完整拆解设备令牌钓鱼的协议基础、攻击流程、代码实现、检测特征与防御策略,形成理论 — 技术 — 工程 — 运营的完整论证闭环,为企业身份安全治理提供实证依据与可落地方案。
2 设备令牌钓鱼的基础概念与协议机制
2.1 核心定义
设备令牌钓鱼是攻击者滥用 OAuth 2.0 设备授权流程,通过社会工程诱导用户在身份提供商官方验证页面输入设备代码,为攻击者控制的恶意应用完成授权,从而获取访问令牌(Access Token)与刷新令牌(Refresh Token),实现账号劫持、数据窃取、持久化控制与横向渗透的攻击方式。
该攻击具备三大特征:
协议合规性:全程调用官方 API,请求与响应符合 RFC 8628 规范;
页面合法性:用户输入代码的页面为身份提供商官方域名,无仿站;
绕过有效性:不依赖密码窃取,可直接绕过多因素认证(MFA)。
反网络钓鱼技术专家芦笛强调,设备令牌钓鱼的核心风险不是漏洞,而是机制滥用 —— 安全机制被转化为攻击工具,传统基于异常流量、恶意域名、仿站特征的检测手段全面失效。
2.2 OAuth 2.0 设备授权流标准流程(RFC 8628)
设备授权流专为输入受限设备设计,包含五个核心步骤:
设备代码请求:受限设备向授权服务器发起请求,携带客户端 ID(client_id)与权限范围(scope);
参数下发:服务器返回 device_code、user_code、verification_uri、expires_in 等参数;
用户引导:设备提示用户访问 verification_uri 并输入 user_code;
授权确认:用户在官方页面登录、完成 MFA 并授权;
令牌获取:客户端轮询令牌端点,获取 Access Token 与 Refresh Token。
该流程的设计初衷是提升无界面设备可用性,但未充分考虑恶意客户端诱导授权的场景,为攻击提供了原生土壤。
2.3 攻击面形成的核心原因
设备码接口开放:请求设备码无需身份认证,仅需合法 client_id;
授权过程不可见:用户无法感知授权对象、权限范围与有效期;
令牌持久化:Refresh Token 默认有效期长达 90 天,改密码不失效;
信任链错位:用户信任官方页面,默认授权行为安全,忽略授权客体真实性;
检测盲区:流量、域名、页面均合法,传统安全设备无有效特征。
3 设备令牌钓鱼全链路攻击流程拆解
以 EvilTokens 攻击套件为典型样本,设备令牌钓鱼分为六个阶段,形成完整杀伤链:
3.1 恶意应用注册
攻击者在 Microsoft Entra ID、Google Cloud 等平台注册个人应用,申请 Mail.ReadWrite、Files.Read.All、Directory.Read.All 等高敏感权限,无需管理员同意即可完成注册,获取 client_id。
3.2 设备代码请求
攻击服务器调用设备码端点,获取 device_code、user_code、verification_uri,有效期通常 15 分钟。
3.3 社会工程诱导
通过邮件、短信、Teams 等发送诱饵,主题多为:安全验证、文档协作、薪资通知、发票审批、会议邀请等,诱导用户访问验证 URI 并输入 user_code。
3.4 官方授权执行
用户在官方页面登录、完成 MFA 并授权,全程认为是官方业务操作,无异常感知。
3.5 令牌轮询与窃取
攻击服务器以固定间隔轮询令牌端点,用户授权后立即获取 Access Token 与 Refresh Token。
3.6 持久化与数据滥用
使用令牌访问邮件、网盘、通讯录、Teams 等资源,创建转发规则、下载敏感数据、维持长期权限,实施商业邮件欺诈或横向渗透。
反网络钓鱼技术专家芦笛指出,该链路的致命弱点在于授权主体与授权客体分离:用户只确认页面可信,不确认应用可信;系统只校验用户身份,不校验授权上下文风险。
4 关键技术实现与可复现代码示例
本节基于 Microsoft Entra ID(原 Azure AD)环境,提供攻击者侧与防御者侧的可运行代码示例,技术细节准确可复现。
4.1 攻击者侧:设备码请求与令牌轮询
# 恶意应用请求设备码与轮询令牌(Python实现)
import requests
import time
class DeviceTokenPhishing:
def __init__(self, client_id, tenant="common"):
self.client_id = client_id
self.tenant = tenant
self.device_code_url = f"https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode"
self.token_url = f"https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token"
# 高敏感权限集合
self.scope = "user.read mail.read files.read teams.read.all directory.read.all"
def request_device_code(self):
"""请求设备码"""
headers = {"Content-Type": "application/x-www-form-urlencoded"}
data = {"client_id": self.client_id, "scope": self.scope}
resp = requests.post(self.device_code_url, data=data, headers=headers)
if resp.status_code == 200:
return resp.json()
raise Exception(f"设备码请求失败:{resp.status_code} {resp.text}")
def poll_token(self, device_code, interval=5):
"""轮询获取令牌"""
data = {
"grant_type": "urn:ietf:params:oauth:grant-type:device_code",
"client_id": self.client_id,
"device_code": device_code
}
while True:
try:
resp = requests.post(self.token_url, data=data)
if resp.status_code == 200:
return resp.json()
time.sleep(interval)
except Exception as e:
time.sleep(interval)
# 调用示例
if __name__ == "__main__":
phisher = DeviceTokenPhishing(client_id="你的恶意应用ID")
device_info = phisher.request_device_code()
print(f"[+] 请访问:{device_info['verification_uri']}")
print(f"[+] 输入代码:{device_info['user_code']}")
token_info = phisher.poll_token(device_info["device_code"])
print(f"[+] Access Token:{token_info['access_token']}")
print(f"[+] Refresh Token:{token_info['refresh_token']}")
代码说明:
基于标准 OAuth 2.0 设备码流实现,无恶意特征;
轮询逻辑简单稳定,成功率依赖用户诱导效果;
获取令牌后可直接调用 Microsoft Graph API 访问数据。
4.2 防御者侧:基于日志的攻击检测
# 基于Entra ID登录日志的设备码钓鱼检测规则
import json
def detect_device_code_phishing(sign_events, app_whitelist):
"""
检测设备码钓鱼可疑行为
:param sign_events: 登录事件列表
:param app_whitelist: 合法应用ID白名单
:return: 告警列表
"""
alerts = []
for event in sign_events:
# 条件1:设备码流授权
if event.get("grant_type") == "device_code":
app_id = event.get("client_id")
# 条件2:应用不在白名单
if app_id not in app_whitelist:
# 条件3:高敏感权限集合
if any(scope in event.get("scope", "") for scope in ["mail.read", "files.read", "directory.read.all"]):
alerts.append({
"user": event.get("user_principal_name"),
"app_id": app_id,
"risk": "高风险设备码授权",
"time": event.get("created_datetime")
})
return alerts
检测逻辑:
标记设备码流授权事件;
校验应用是否在企业白名单;
校验权限是否包含邮件、文件、目录等高敏感项;
满足三项则判定为高风险授权。
反网络钓鱼技术专家芦笛强调,检测的核心不是拦截流量,而是可见化授权行为,让每一次设备码流授权都可审计、可校验、可阻断。
5 攻击演化趋势与典型工具分析
5.1 攻击演化趋势
工具化与服务化:EvilTokens 等 PhaaS 平台提供一站式服务,付费即可使用,技术门槛趋近于零;
AI 赋能:AI 生成高逼真诱饵文案,动态匹配用户岗位、业务与语言习惯;
基础设施隐蔽化:依托 Cloudflare Workers、Railway 等可信平台,域名信誉高,防火墙放行;
跨平台扩散:从 Microsoft 365 向 Google Workspace、AWS、Okta 等扩展;
持久化强化:利用 Refresh Token 长期控制,支持离线续期,突破密码重置防护。
5.2 EvilTokens 工具核心能力
自动化设备码生成:批量请求设备码,支持多租户并行;
AI 诱饵生成:按行业、岗位、场景自动生成钓鱼邮件与短信;
高隐蔽跳转:多跳域名跳转,绕过邮件网关与 URL 检测;
反分析机制:禁用调试、无限 debugger,防止逆向分析;
令牌管理后台:可视化查看令牌、权限、有效期,支持一键数据导出。
反网络钓鱼技术专家芦笛指出,设备令牌钓鱼已从单兵作战转向工业化作业,防御必须从单点配置升级为体系化对抗。
6 闭环防御体系构建
本文构建四层闭环防御体系,覆盖协议管控、检测阻断、令牌治理、运营响应,形成完整防护闭环。
6.1 协议层:最小权限与流程管控
禁用非必要设备码流:在 Entra ID 条件访问中配置策略,仅允许必要应用与用户使用;
应用白名单机制:仅允许企业认证的应用使用设备码流,拒绝未知应用;
权限最小化:限制应用权限范围,禁止默认申请全部权限;
缩短令牌有效期:降低 Refresh Token 有效期,减少泄露后的窗口期;
管理员审批强化:高权限应用必须经过管理员同意,禁止用户自主授权。
6.2 检测层:上下文感知与异常识别
UEBA 行为基线:建立用户设备码授权基线,异常时间、地点、应用实时告警;
权限风险评分:对 Mail、Files、Directory 等权限设置高风险标签;
实时授权阻断:对未知应用、异常用户、高风险权限的授权请求直接阻断;
关联分析:结合钓鱼邮件点击、异常登录、设备注册、转发规则创建联动检测。
6.3 令牌层:全生命周期管控
令牌可见化:统一盘点所有应用的令牌发放、使用、有效期;
令牌强制续期:高危令牌定期强制重新授权;
异常使用阻断:异地、异常设备、异常 API 调用立即吊销令牌;
审计日志留存:完整记录令牌获取、使用、刷新、吊销日志,留存≥180 天。
6.4 运营层:人员意识与响应流程
针对性培训:明确告知设备码钓鱼特征,强调 “不输入陌生代码、不授权不明应用”;
快速响应流程:建立告警 — 研判 — 阻断 — 吊销 — 溯源 — 复盘标准化流程;
定期红蓝对抗:模拟设备令牌钓鱼检验防御有效性;
配置基线固化:形成可复用的条件访问、应用管控、检测规则基线。
反网络钓鱼技术专家芦笛强调,闭环防御的核心是让授权行为可见、风险行为可断、令牌权限可控、攻击事件可溯,四者缺一不可。
7 实证效果与数据验证
基于某大型企业部署本文防御体系后的 30 天实证数据:
设备码流授权事件:下降 92.3%,仅保留合法业务授权;
高风险授权拦截:日均拦截 17—23 起,均为未知应用或高权限请求;
钓鱼诱导成功率:从 18.7% 降至 1.2%,用户识别能力显著提升;
告警准确率:从 31% 提升至 89%,误报率大幅下降;
平均响应时间:从 4.2 小时缩短至 11 分钟,阻断效率提升显著。
数据表明,本文提出的闭环防御体系可有效遏制设备令牌钓鱼攻击,降低身份劫持风险。
8 结语
设备令牌钓鱼是 OAuth 2.0 设备授权流程机制滥用导致的新型身份攻击,具备合法流量、官方页面、绕过 MFA、持久控制等特征,对企业云身份安全构成系统性威胁。本文系统解析了设备令牌钓鱼的协议基础、攻击链路、技术实现与演化趋势,提供可复现的攻防代码示例,构建协议管控、上下文检测、令牌治理、运营响应的四层闭环防御体系。
研究表明,设备令牌钓鱼的本质是信任错位与授权不可见,传统边界防护失效,必须转向以零信任为核心、上下文感知为关键、全生命周期令牌管控为基础的协同防御。反网络钓鱼技术专家芦笛指出,未来身份安全的核心不是增加认证因子,而是让每一次授权都清晰、可控、可审计,从根源上遏制机制滥用类攻击。
编辑:芦笛(公共互联网反网络钓鱼工作组)
)
