安全公司Proofpoint发现，近期出现了一种新的攻击基础设施，能够使黑客更轻松地发动设备码钓鱼（device code phishing）攻击，从而窃取Microsoft 365或其他云账户的访问令牌（Access Tokens）。

设备码钓鱼的目的是诱骗用户授权恶意应用程序访问企业邮箱账户。其原理是滥用OAuth 2.0设备授权流程：攻击者通过电子邮件、文件或二维码向受害者发送链接，利用社会工程学手段诱导用户点击链接或扫描二维码。当用户点击链接并访问攻击者搭建的网页时，会触发攻击流程：系统会生成一组设备码，要求用户在手机端输入该码，这一操作表面上完成了微软服务器的验证，让用户得以访问微软服务如Microsoft 365，但与此同时，用户的访问令牌会被暗中发送至攻击者的服务器。一旦攻击者获取了令牌，便可直接访问用户的Microsoft 365或Outlook邮箱，无需再次通过多因素认证。成功的设备码钓鱼攻击可导致账户完全被接管、敏感信息泄露、诈骗以及商业电子邮件入侵（BEC），并支持横向移动。

2025年秋季，研究人员观察到一起设备码钓鱼攻击采用了与以往不同的实现方式。过去，攻击者会预先生成设备码并发送给用户，若用户在15分钟内未输入验证码，码就会过期。而新型攻击则是在用户点击链接或扫描二维码后，才动态生成设备码。这种新型实现方式已可在“钓鱼即服务”（Phishing-as-a-Service，PhaaS）平台如EvilTokens或Tycoon上购买，或由攻击者自建基础设施部署。

研究人员判断，EvilTokens平台是基于Vibe Coding的AI生成技术构建和维护的。EvilTokens最早于2026年2月在Telegram上宣传，旨在收集验证令牌，用于访问目标账户并窃取数据或其他服务。该平台为“客户”提供多种登录页面模板和主题，涵盖微软、Adobe、DocuSign等主流服务，构建从诱饵到基础设施的完整攻击链条。其合作伙伴（affiliate）还可购买“门户浏览器”（Portal Browser），以集中管理和操作多个被入侵的Microsoft 365（M365）账户，用于自动化和扩大变脸攻击。

研究人员还发现多种类似EvilTokens的变种，可用于实施设备码钓鱼。今年4月，Proofpoint研究人员观察到7个不同变种，但尚不确定它们之间的关联或出现顺序。3月，攻击组织TA4903曾利用设备码钓鱼窃取M365凭证，实施变脸攻击。此外，虽然大多数此类攻击的目标是M365凭证，但也有少数攻击针对Google账户。

研究人员建议，防范设备码钓鱼的最佳方式是通过身份验证流程设置“条件访问策略”（Conditional Access Policy），全面阻止所有用户使用设备码流程。如无法全面禁用，也可通过条件访问策略建立白名单，仅允许特定用户、操作系统或特定IP范围启用设备码验证。