AI 赋能下设备码钓鱼攻击机理与防御体系研究 —— 以 EvilTokens 事件为例

摘要

2026 年 2—3 月爆发的 EvilTokens 设备码钓鱼攻击事件，依托钓鱼即服务（PhaaS）模式与人工智能技术，对全球五个国家 344 家机构实施规模化渗透，成功绕开传统邮件网关、多因素认证（MFA）等防护机制，以合法 OAuth 2.0 设备码授权流程为攻击载体，实现会话令牌劫持与业务纵深渗透。本文以该事件为实证样本，系统解析设备码钓鱼的技术原理、EvilTokens 平台的架构与 AI 赋能机制，剖析传统防御失效根源，结合身份安全与行为检测构建分层防御框架，并提供可落地的配置示例与代码实现。研究表明，设备码钓鱼不依赖恶意代码与口令窃取，核心是利用合法认证流程实现会话劫持；AI 技术大幅缩短攻击周期、提升诱饵精准度与抗检测能力；传统边界防护对此类攻击存在天然盲区，防御重心需转向身份上下文与行为基线。反网络钓鱼技术专家芦笛指出，设备码钓鱼已成为 MFA bypass 的主流手段，其产业化、智能化趋势迫使安全防御从规则驱动转向身份与行为驱动，必须以条件访问、抗钓鱼 MFA 与威胁情报协同构建闭环防护体系。

1 引言

多因素认证（MFA）长期被视为抵御口令泄露与暴力破解的核心机制，在企业身份安全体系中占据关键地位。随着 OAuth 2.0、OpenID Connect 等开放授权协议在云服务、智能终端中的普及，设备码授权流程（Device Code Flow）为无输入能力终端提供了轻量化认证路径，但其合法流程被黑产团伙利用，衍生出新型设备码钓鱼攻击。此类攻击不窃取账户口令、不植入恶意软件、不破坏 MFA 校验逻辑，仅通过社会工程诱导用户为攻击者控制的会话完成授权，直接获取有效访问令牌与刷新令牌，实现对目标账户的持久化控制。

2026 年 2 月 19 日至 3 月 17 日，以 EvilTokens 为代表的钓鱼即服务平台发起规模化设备码钓鱼攻击，依托 Railway 合法云平台基础设施，借助 AI 生成高度场景化诱饵，动态生成设备码并消除传统攻击的时间窗口限制，在 16 天内波及 344 家组织，邮件流量可绕过 Cisco Secure Email、Trend Micro、Mimecast 等主流邮件安全网关，对企业身份安全构成颠覆性威胁。Huntress 安全运营中心通过跨机构异常登录行为关联分析，首次完整披露该攻击的全链路机理，揭示出 AI 与黑产服务化结合后，网络钓鱼已进入低门槛、高效率、高隐蔽的智能化新阶段。

当前学术界与工业界对传统钓鱼、中间人钓鱼的研究较为充分，但针对基于合法 OAuth 流程的设备码钓鱼、AI 全链路赋能的 PhaaS 平台机理、以及面向身份层的防御体系构建仍存在研究缺口。现有防御多聚焦邮件内容、URL 特征、恶意软件检测，对合法流程滥用、会话令牌劫持、行为异常识别缺乏有效手段。本文以 EvilTokens 事件为实证案例，遵循 “攻击机理 — 平台架构 — 防御失效 — 体系重构” 的逻辑脉络，开展技术拆解与防御方案设计，为企业抵御智能化 MFA 绕过攻击提供理论依据与实践参考。

2 设备码钓鱼攻击核心机理与 OAuth 2.0 流程滥用

2.1 设备码授权流程的合法应用场景

OAuth 2.0 设备码授权流程专为输入能力受限设备设计，广泛应用于智能电视、物联网终端、控制台应用等场景，其核心目标是在无浏览器交互或键盘输入能力有限的条件下，完成用户身份授权与令牌发放。以 Netflix 在智能电视的登录、Microsoft 365 在无界面终端的授权为例，标准流程包含以下核心步骤：

客户端向授权服务器发起设备码请求，携带客户端 ID、权限范围等参数；

授权服务器返回设备码、用户验证码、验证 URL 与过期时间；

终端显示设备码与验证 URL，提示用户在手机、PC 等辅助设备访问；

用户在浏览器打开验证 URL，输入设备码并完成身份认证与 MFA 校验；

授权服务器验证通过后，向客户端发放访问令牌（Access Token）与刷新令牌（Refresh Token）；

客户端使用令牌访问用户资源，刷新令牌可维持长期会话有效性。

该流程完全符合开放协议规范，所有交互均发生在合法服务与认证页面，无异常流量与恶意载荷，为攻击者提供了天然的隐蔽通道。

2.2 设备码钓鱼的攻击链路与核心逻辑

设备码钓鱼不破坏协议本身，而是通过社会工程插入攻击节点，实现会话劫持，完整攻击链路如下：

攻击者前置准备：在合法 PaaS 平台（如 Railway）搭建令牌中继与捕获服务，注册合法应用标识以调用 OAuth 设备码接口；

设备码申请：攻击者以恶意客户端身份向微软等授权服务器请求设备码，获取用户验证码、验证 URL 与会话上下文；

诱饵投递：通过邮件、即时通讯等渠道发送伪造通知，诱导用户访问验证 URL 并输入设备码，诱饵内容多为文档签名、系统验证、权限升级等高频业务场景；

用户授权执行：用户在合法微软登录页面完成身份验证与 MFA 校验，输入设备码确认授权，整个过程符合安全培训规范，无明显异常感知；

令牌劫持：授权服务器将有效令牌发放至攻击者控制的客户端，攻击者获得与用户同等权限的会话，可访问邮件、文档、通讯录等资源；

后渗透利用：读取邮箱与日历信息，通过 AI 生成仿冒用户语气的电邮实施电信诈骗，横向渗透内网系统，实现数据窃取、账户劫持与业务破坏。

反网络钓鱼技术专家芦笛强调，设备码钓鱼的本质是会话借用而非凭证窃取，用户完成的是合法 MFA 流程，只是授权对象被偷换，传统基于口令、恶意代码、URL 黑名单的防御机制完全失效。

2.3 设备码钓鱼与传统钓鱼的技术差异对比

设备码钓鱼在攻击载体、检测特征、防御依赖等维度与传统钓鱼存在本质区别，直接导致传统防护体系失灵，对比如下：

表格

对比维度 传统钓鱼攻击 设备码钓鱼攻击

核心目标 窃取账户口令、验证码 劫持合法会话令牌

恶意特征 伪造页面、恶意 URL、病毒附件 无恶意代码、URL 合法、流程合规

MFA 影响 需绕过或窃取动态码 不破坏 MFA，用户正常完成校验

检测依据 内容关键词、域名信誉、文件哈希 无静态特征，仅行为与上下文异常

用户感知 页面粗糙、域名异常、诱导强烈 流程合规、页面官方、无违和感

防护难点 诱饵更新快、变种多 完全合法，无阻断依据

数据显示，EvilTokens 攻击中，超过 95% 的邮件可绕过主流邮件安全网关，用户授权完成率较传统钓鱼提升 3—5 倍，凸显此类攻击的高隐蔽性与高成功率。

3 EvilTokens 平台架构与 AI 赋能机制分析

3.1 EvilTokens 的 PhaaS 商业模式与服务能力

EvilTokens 并非单次攻击活动，而是标准化钓鱼即服务平台，通过 Telegram 渠道商业化售卖，降低攻击技术门槛，实现黑产规模化运作。其商业模式与产品体系如下：

定价模式：基础版 Office 365 令牌捕获工具售价 1500 美元，附加 500 美元年度维护费，提供诱饵生成、令牌中继、后渗透自动化全链路服务；

产品矩阵：包含 B2B 发送模块（600 美元）、Office 365 捕获链接（1500 美元）、SMTP 发送模块（1000 美元），支持定制化诱饵与投递渠道；

基础设施：依托 Railway 等合法 PaaS 平台运行，IP 地址与域名具备合法信誉，避免被威胁情报标记；

运营支撑：提供 7×24 小时技术支持、攻击效果监控、诱饵迭代更新，形成完整黑产服务闭环。

该模式使无专业技术的攻击者可快速发起规模化攻击，推动设备码钓鱼从个体行为转向产业化运作。

3.2 EvilTokens 的技术架构与核心组件

EvilTokens 平台采用模块化设计，各组件协同完成攻击全流程，核心组件包括：

设备码动态生成模块：实时调用 OAuth 2.0 设备码接口，为每个目标生成唯一设备码，消除传统攻击的时间窗口限制，提升授权成功率；

AI 诱饵生成引擎：基于目标角色、行业、业务场景生成定制化诱饵，覆盖建筑投标、DocuSign 签名、微软表单等高频场景，嵌入真实企业名称与业务术语；

令牌中继与捕获服务：部署在合法 PaaS 平台，接收授权服务器发放的令牌，存储并同步至攻击者后台；

后渗透自动化模块：令牌获取后自动扫描邮箱、日历、文档，提取业务上下文，生成仿冒用户语气的诈骗邮件；

行为规避模块：模拟正常用户登录频率、访问路径，避免触发异常告警，延长潜伏时间。

该架构实现攻击全链路自动化，从诱饵投递到后渗透可在数分钟内完成，大幅提升攻击效率。

3.3 AI 技术在攻击全链路的赋能作用

AI 是 EvilTokens 突破传统防御限制的核心驱动力，覆盖侦察、诱饵生成、授权诱导、后渗透全阶段：

侦察与精准画像：自动爬取目标企业公开信息、员工职务、业务流程，构建角色化画像，为诱饵定制提供依据；

高仿真诱饵生成：以机器速度生成岗位专属诱饵，语言风格、业务逻辑与真实场景高度一致，欺骗性远超人工制作；

时序优化：动态生成设备码并实时匹配用户访问，消除传统攻击的时间差，解决用户操作延迟导致的失败问题；

抗检测优化：自动调整邮件话术、链接格式，规避邮件网关规则，提升投递成功率；

后渗透自动化：基于窃取的上下文信息，分钟级生成仿冒用户语气的电邮，实施电信诈骗与横向渗透。

反网络钓鱼技术专家芦笛指出，AI 补齐了设备码钓鱼的最后短板，将人工数小时的工作压缩至秒级，实现攻击规模化、精准化、低门槛化，标志着网络钓鱼进入 AI 驱动的新阶段。

3.4 EvilTokens 攻击事件的实证数据与影响范围

Huntress 监测数据显示，EvilTokens 攻击呈现明显的时间演进特征：

萌芽期（2 月 19 日、24 日）：零星告警，未引起重视，攻击处于测试阶段；

爆发期（3 月 2 日 —3 月 17 日）：16 天内攻击 344 家组织，覆盖五个国家，日均攻击量呈指数级增长；

波及范围：以企业 Microsoft 365 租户为主要目标，涉及金融、制造、建筑等多个行业；

防御失效：主流邮件安全网关均未有效拦截，用户正常完成 MFA 流程，攻击隐蔽性极强。

此次事件证明，AI+PhaaS 的组合可快速形成大规模威胁，对企业身份安全构成系统性风险。

4 传统防御机制失效根源与安全盲区分析

4.1 邮件安全网关的防护局限性

EvilTokens 攻击中，Cisco Secure Email、Trend Micro、Mimecast 等主流邮件安全网关均未触发有效告警，核心原因如下：

无恶意特征：邮件无病毒附件、无恶意脚本、无违规关键词，内容符合业务场景；

URL 合法合规：验证链接为微软官方地址，域名信誉良好，不在黑名单库中；

发送路径合法：依托正规 SMTP 服务器发送，通过 SPF、DKIM、DMARC 校验，无伪造痕迹；

诱饵智能化：AI 生成话术规避规则库特征，无明显诱导性语言，符合正常业务沟通逻辑。

传统网关基于静态特征匹配的检测模式，对合法流程滥用完全无效。

4.2 MFA 机制的防护边界与固有缺陷

MFA 的设计目标是抵御口令泄露，但其无法区分合法授权与恶意授权：

校验逻辑不变：用户正常完成口令 + 动态码校验，MFA 机制判定为合法请求；

授权对象不可见：MFA 仅校验用户身份，不校验授权目标是否为用户预期设备 / 应用；

会话无绑定：令牌发放后不与用户常用设备、IP 地址、地理位置绑定，攻击者可任意使用；

安全培训失效：用户被训练为 “遇到验证即完成”，无法识别授权对象被偷换的场景。

反网络钓鱼技术专家芦笛强调，MFA 不是万能防线，当攻击不破坏认证流程、仅偷换授权对象时，MFA 无法提供有效保护。

4.3 边界防护与身份安全的错位

传统防御以网络边界、终端、邮件为核心，聚焦恶意代码与异常流量，而设备码钓鱼完全运行在合法通道内：

攻击路径合法：基于标准 OAuth 协议，交互对象为官方授权服务器，无异常流量；

基础设施可信：依托 Railway 等合法 PaaS 平台，IP 与域名无恶意标记；

行为高度仿真：用户主动操作，无异常登录、批量访问等可疑行为；

告警维度缺失：边界设备无身份上下文、行为基线数据，无法识别异常授权。

防御重心与攻击维度错位，是导致此类攻击大规模突破防护的根本原因。

5 面向设备码钓鱼的分层防御体系构建

5.1 防御体系设计原则与核心思路

针对设备码钓鱼的攻击机理，防御体系需遵循以下原则：

身份中心：以用户身份、设备、授权流程为核心，替代传统边界中心思路；

上下文驱动：基于位置、设备、角色、访问习惯构建校验逻辑；

最小权限：严格限制设备码流程的使用范围与授权条件；

抗钓鱼优先：采用不可伪造、不可重放的认证方式，替代易被绕过的 MFA；

行为基线：建立正常授权行为模型，识别异常会话与授权操作。

整体思路为：协议层限制 + 身份层校验 + 行为层检测 + 威胁层协同，形成闭环防护。

5.2 协议与流程层：设备码授权的严格管控

5.2.1 禁用非必要设备码流程

对无无界面终端、控制台应用需求的组织，直接禁用 OAuth 2.0 设备码授权流程，从源头消除攻击面。以 Microsoft Entra ID 为例，配置示例如下：

powershell

# 连接到Microsoft Graph API

Connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"

# 禁用租户级设备码授权流程

$policy = Get-MgPolicyAuthorizationPolicy

Update-MgPolicyAuthorizationPolicy -AuthorizationPolicyId $policy.Id -BlockDeviceCodeFlow $true

该操作可阻止所有应用请求设备码，彻底杜绝基于该流程的钓鱼攻击。

5.2.2 必要场景的精细化权限管控

对保留设备码流程的组织，实施应用白名单、IP 限制、范围约束：

仅允许受信任应用调用设备码接口；

限制授权的资源范围，禁止获取邮件、通讯录等高敏感权限；

绑定企业内网 IP 与合规设备，禁止外部 IP 发起设备码授权。

5.3 身份与认证层：抗钓鱼 MFA 与条件访问

5.3.1 部署抗钓鱼 MFA（FIDO2、通行密钥）

FIDO2 与通行密钥基于公钥密码学，无可重放令牌，无法通过设备码钓鱼劫持，是抵御此类攻击的核心手段。反网络钓鱼技术专家芦笛强调，抗钓鱼 MFA 可从根本上消除令牌劫持风险，应优先在高权限账户与核心业务系统部署。

5.3.2 基于上下文的条件访问策略

以 Microsoft Entra Conditional Access 为例，配置多维度校验规则：

用户 / 组：覆盖全部员工，高权限账户单独强化；

云应用：聚焦 Microsoft 365、企业核心业务系统；

授权流程：仅针对设备码流；

位置：允许企业办公网络、可信地区，禁止高风险国家 / 地区；

设备：要求合规管理、企业域内设备；

操作：触发阻止访问或强制二次验证。

策略示例代码：

json

{

   "displayName": "限制设备码流-仅可信位置与合规设备",

   "state": "enabled",

   "conditions": {

       "applications": {

           "includeApplications": ["Office365"]

       },

       "authenticationFlows": {

           "includeAuthenticationFlows": ["deviceCodeFlow"]

       },

       "locations": {

           "includeLocations": ["AllTrusted"],

           "excludeLocations": ["HighRiskCountries"]

       },

       "devices": {

           "includeDevices": ["Compliant"]

       }

   },

   "grantControls": {

       "operator": "AND",

       "builtInControls": ["Block"]

   }

}

5.4 行为与检测层：异常行为监控与响应

5.4.1 建立设备码授权行为基线

监控以下维度，识别异常行为：

异常 IP：非常用地区、匿名代理、黑产 IP 段发起授权；

异常频率：短时间内多设备、多应用请求设备码；

异常设备：首次出现、非企业管理设备发起授权；

异常时效：设备码生成后长时间未使用、跨时段授权。

5.4.2 实时告警与自动化响应

实现告警 — 研判 — 处置闭环：

实时告警：异常设备码授权、跨地区登录、令牌异常使用；

自动化处置：可疑会话立即撤销刷新令牌，强制下线；

批量阻断：对 Railway 等恶意基础设施 IP，全局屏蔽设备码授权请求。

Python 自动化撤销刷新令牌示例：

import requests

import json

def revoke_refresh_token(token: str, tenant_id: str, client_id: str, client_secret: str):

   # 获取令牌管理接口访问凭证

   auth_url = f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token"

   auth_data = {

       "grant_type": "client_credentials",

       "client_id": client_id,

       "client_secret": client_secret,

       "scope": "https://graph.microsoft.com/.default"

   }

   auth_resp = requests.post(auth_url, data=auth_data)

   access_token = auth_resp.json()["access_token"]

 

   # 撤销用户刷新令牌

   revoke_url = "https://graph.microsoft.com/v1.0/me/revokeSignInSessions"

   headers = {

       "Authorization": f"Bearer {access_token}",

       "Content-Type": "application/json"

   }

   revoke_resp = requests.post(revoke_url, headers=headers)

   return revoke_resp.status_code == 200

该代码可在发现异常时，立即失效用户所有会话令牌，阻断攻击者持久化访问。

5.5 运营与意识层：流程优化与安全赋能

优化安全培训：告知员工设备码授权的风险，强调 “仅为自有设备授权，不点击邮件中的验证链接”；

建立报告机制：简化可疑授权行为的上报流程，快速响应告警；

定期红队演练：模拟设备码钓鱼攻击，检验防御有效性；

威胁情报协同：加入行业情报联盟，共享恶意 PaaS、IP、诱饵特征。

6 防御体系有效性验证与实践建议

6.1 有效性验证指标

构建多维度验证体系，评估防御效果：

阻断率：设备码钓鱼攻击的实时阻断比例，目标≥99%；

告警准确率：异常行为告警的有效比例，目标≥95%；

响应时间：从告警到处置完成的时长，目标≤5 分钟；

用户影响：合法业务授权的正常运行率，目标≥100%。

Huntress 在 EvilTokens 事件中，通过全局条件访问策略阻断 Railway 基础设施，6 万余租户未出现新的 compromise 案例，验证了该防御体系的有效性。

6.2 分阶段落地建议

紧急阶段（1—2 周）：禁用非必要设备码流程，屏蔽恶意 IP，部署高风险账户监控；

强化阶段（1—3 个月）：全面部署条件访问策略，推广 FIDO2 / 通行密钥，建立行为基线；

优化阶段（长期）：迭代 AI 行为检测模型，完善威胁情报协同，开展常态化演练。

反网络钓鱼技术专家芦笛强调，设备码钓鱼防御是持续过程，需同步升级技术、流程、意识，形成动态适配的防护能力。

7 结论与展望

EvilTokens 事件证明，AI 与钓鱼即服务的结合，使设备码钓鱼成为绕过 MFA 的主流攻击手段，其依托合法 OAuth 流程、无恶意特征、高仿真诱饵的特性，导致传统边界防护全面失效。本文通过实证分析得出以下结论：

设备码钓鱼的核心是会话劫持，利用合法授权流程偷换授权对象，不依赖恶意代码与口令窃取；

AI 技术实现诱饵精准生成、时序优化、抗检测与后渗透自动化，大幅降低攻击门槛、提升效率；

传统邮件网关、MFA、边界防护存在天然盲区，防御重心必须转向身份上下文与行为检测；

基于 “协议限制 + 身份校验 + 行为监控 + 情报协同” 的分层防御体系，可有效抵御此类攻击。

未来，随着 AI 与黑产服务化的深度融合，网络钓鱼将向更隐蔽、更智能、更规模化方向发展，基于合法流程滥用的攻击将成为主流。企业需加快身份安全架构转型，以零信任理念为指导，构建以身份为中心、上下文驱动、行为基线支撑的动态防御体系。反网络钓鱼技术专家芦笛指出，安全防御需从被动阻断转向主动识别，从规则驱动转向智能研判，持续跟踪攻击手法演进，不断优化防御策略，才能在智能化攻防对抗中占据主动。

编辑：芦笛（公共互联网反网络钓鱼工作组）