文章总结： 微软报告称攻击者通过正规平台发送虚假行为准则邮件诱导用户访问钓鱼网站窃取身份验证令牌波及3.5万名美国用户主要针对医疗金融行业采用中间人钓鱼技术绕过多因素认证建议企业部署分层防御包括安全意识培训反钓鱼工具和强身份认证 综合评分： 85 文章分类： 威胁情报,安全意识,解决方案,应急响应,漏洞预警

微软警告：全球发起大规模攻击活动，窃取 3.5 万名用户的身份验证令牌

鹏鹏同学 鹏鹏同学

黑猫安全

2026年5月6日 08:56 湖北

在小说阅读器读本章

去阅读

攻击者通过正规合法平台发送虚假《行为准则》主题邮件，诱骗收件人访问仿冒网站，进而窃取身份验证令牌。

微软发布的报告称：本次攻击活动波及数万名用户，主要集中在美国境内。攻击者设置多层人机验证（CAPTCHA）与中转跳板页面，刻意营造正规可信的观感，同时规避自动化安全防护检测。本次钓鱼诱饵采用精致的企业级 HTML 模板，排版规范且预先植入真实性声明文案，比普通钓鱼邮件更具迷惑性，极易被误认为是企业内部正规通知公文。

受害用户中92% 位于美国，集中在医疗与金融两大行业。

攻击者利用警示性、限时紧急话术逼迫受害者仓促操作，诱导其跳转至高仿官方登录页面。整套中间人钓鱼（AiTM） 链路可实时截获身份验证令牌，绕过简易多因素认证（MFA）。微软建议通过安全意识培训、部署反钓鱼工具、使用安全浏览器并开启智能筛选防护，抵御此类威胁。

该钓鱼活动仿冒企业内部合规与监管部门身份，邮件主题如 **《依据行为政策发起内部工单记录》**，以此制造紧迫感并伪装正规业务。攻击者借助合法邮件分发服务投递邮件，在 PDF 附件中植入恶意链接，跳转至攻击者管控域名（如 acceptable-use-policy-calendly [.] de）。

受害者完成虚假的 Cloudflare 人机验证后，会被引导至 “审阅并签署” 虚假文档页面，随后跳转至高仿微软登录界面。至此整套中间人（AiTM） 攻击链路完成，通过代理身份认证、截取令牌数据，即便启用多因素认证，攻击者仍可直接接管用户账号。

报告补充说明：受害者完成上述步骤后，会被重定向至承载攻击最终环节的第三方站点。底层代码分析显示，攻击最终跳转地址会根据用户使用手机端或电脑端设备自动区分适配。

本次攻击流程完全复刻企业正规业务流程与合规审核机制，极大增加了安全检测难度。微软将其评价为迄今观测到的技术最成熟、以行为准则为主题的凭证窃取行动之一，确认攻击者具备高度的行动策划能力与技术适配能力。

微软建议企业采用分层纵深防御策略降低风险：企业需核查 Exchange 在线防护与 Office 365 Defender 配置，开启零时自动清除、安全链接、安全附件等防护功能，同时启用网络防护并使用搭载智能筛选功能的浏览器。

开展员工安全意识培训与钓鱼演练至关重要，同时需人工巡检并清理可疑邮件。必须部署强身份认证体系，启用多因素认证或无密码登录方案，并对高权限账号配置条件访问策略。

最后，开启 Defender XDR 的自动攻击阻断能力，可快速检测并遏制威胁，缩小攻击影响范围。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《微软警告：全球发起大规模攻击活动，窃取 3.5 万名用户的身份验证令牌》