要求用户按照指示复制、粘贴并执行恶意指令的网络钓鱼手法ClickFix，是目前最泛滥的社交工程攻击形式。这种手法后来衍生出多种变体，包括全部操作都在浏览器中完成的FileFix，以及结合伪造系统更新屏幕覆盖的JackFix。如今，又出现了一种结合OAuth身份验证流程的新型攻击手法。

专注于浏览器安全的公司Push Security披露了一种名为ConsentFix的攻击方式，它融合了OAuth授权钓鱼与ClickFix，从而劫持用户的微软账户。这种基于浏览器的新型攻击手段，仅需诱骗用户进行简单的复制粘贴操作，即可实现账户接管。更危险的是，如果用户已在浏览器中登录了某个OAuth应用，攻击者无需获取密码或通过多因素认证（MFA），就能成功入侵——这意味着攻击者甚至可能绕过通行密钥（Passkey）等安全防护机制。

值得注意的是，这种攻击手法已出现真实案例。Push Security观察到黑客利用Azure CLI的OAuth应用，通过生成特定的OAuth授权码，诱导受害者登录Azure CLI，并将生成的URL粘贴到攻击者控制的网页上。这样一来，攻击者便能在受害者的微软账户与自己的Azure CLI实例之间建立OAuth授权连接。

具体攻击流程如下：受害者通常通过Google搜索访问被入侵或恶意的网页，而这些网页大多为合法且信誉良好的网站，容易被搜索引擎收录。黑客在被攻陷的网站中注入仿冒Cloudflare Turnstile的人机验证页面，要求用户输入电子邮件地址才能完成验证。此举旨在阻止安全机器人和研究人员进行分析；对于非目标用户，输入邮箱后会被重新引导回原网站。

一旦用户输入信息并点击验证，页面将进入下一阶段：要求用户登录自己的微软账户。完成登录后，系统会提示用户复制生成的URL并粘贴到指定输入框中。若用户按指示操作并点击登录按钮，将被跳转至合法的微软登录页面完成身份验证。成功登录后，用户会被重定向至localhost，此时系统会生成与用户微软账户相关的授权URL。若用户将该URL粘贴回人机验证页面，便会通过Azure CLI将自己的微软账户授权给攻击者。

Push Security指出，ConsentFix是ClickFix与授权钓鱼的升级版，危险性更高，传统安全工具难以检测和拦截。原因是整个攻击流程完全在浏览器内完成，不像传统ClickFix需要在本地执行命令；此外，攻击者利用的Azure CLI是微软官方的第一方应用，通常默认受信任、拥有特殊权限，且无法被封禁或卸载，系统也不会对其施加针对第三方应用的安全限制。因此，Push Security认为，未来攻击者可能进一步利用其他云服务平台开展ConsentFix攻击，甚至与各类“即服务”平台整合，扩大攻击影响范围。