去年12月，从事浏览器安全防护的网络安全公司Push Security披露了一种名为ConsentFix的网络钓鱼手法。该手法结合了ClickFix社交工程与OAuth授权欺骗，旨在劫持用户的微软账户。由于ConsentFix的攻击全过程均在浏览器内完成，无需像ClickFix那样接触终端设备的操作系统，因此更难被检测和拦截。当时，俄罗斯黑客组织APT29已将其用于实际攻击。

近期，Push Security在网络安全论坛XSS上发现了一篇疑似由俄罗斯国家级黑客发布的第三代ConsentFix（ConsentFix v3）技术介绍文章。文章以类似安全厂商博客的形式，详细说明了该手法所使用的关键技术，包括OAuth授权、授权欺骗、令牌刷新，以及客户端ID家族（FOCI）。文章还梳理了ClickFix与ConsentFix的技术演进过程，并为论坛用户提供了一套完整的操作指南。

ConsentFix v3与第一代最大的区别在于，它实现了攻击流程的全面自动化。攻击者可启动ConsentFix基础设施，伪装成可信身份与受害者互动，设计并管理钓鱼邮件活动，自动将截获的OAuth令牌用于会话建立，并完成令牌刷新，最终实现对受害者账户的完全控制。

该攻击手法融合了多种SaaS工具与开源技术，包括用于托管服务的Cloudflare Workers、用于识别目标的ZoomInfo、用于存储PDF文件的Dropbox，以及用作数据外传通道的Pipedream。此外，攻击者还可能使用SpecterPortal等黑客工具进行后续渗透操作。