今年3月，大规模执法行动打击了中间人攻击（AiTM）钓鱼工具包租赁平台Tycoon 2FA，当时欧洲刑警组织（Europol）联合六国执法机构与13家企业成功查封了330个域名。然而，参与执法的网络安全公司持续追踪发现，这些黑客很快调整策略，转而利用OAuth设备验证授权作为渗透Microsoft 365账户的手段。

网络安全公司eSentire指出，自4月起观察到Tycoon 2FA的最新攻击活动：黑客通过钓鱼邮件诱导收件人点击链接，该链接由Trustifi点击追踪服务生成，随后诱骗用户在不知情的情况下，于微软设备登录页面microsoft[.]com/devicelogin上，将OAuth令牌授权给攻击者控制的设备。值得注意的是，此次新版Tycoon 2FA钓鱼套件不会向用户索要密码，黑客还使用伪装成Microsoft Authentication Broker的OAuth客户端程序。一旦用户成功授权，攻击者即可获取访问Exchange Online、Microsoft Graph和OneDrive for Business的OAuth访问令牌。从防御方的Entra遥测数据来看，这些活动看起来与正常的微软应用行为无异。

在攻击过程中，黑客通常冒充发票通知发送钓鱼邮件，诱导用户点击链接。一旦用户点击，就会被引导至Cloudflare Workers进行多层跳转，最终导向微软的设备登录页面，完成设备绑定。得手后，用户会被重定向至真实的Outlook邮箱界面。对此，eSentire呼吁IT人员立即采取应对措施，例如：实施Entra条件访问策略，禁用终端用户的OAuth设备验证流程，限制用户对OAuth应用的授权权限，所有第三方应用必须经管理员审批后方可获得OAuth权限。