你可能覺得自己夠小心了——看到陌生鏈接會檢查，知道要開雙重驗證。但FBI最新警告說，有一種新騙局連真正的微軟登錄頁面都能變成武器。

這個騙局基于一個叫Kali365的"釣魚即服務"平臺。它的狡猾之處在于：不偽造假網站，而是把你引向真的Microsoft.com。你輸入的密碼、點的確認，全都是發給微軟的。但黑客照樣能拿走你的賬號。

問題出在微軟為電視、機頂盒這類設備設計的登錄方式上。這些設備輸入不便，微軟允許用戶先在電腦或手機上輸入一個短碼完成認證，再給設備放行。Kali365的攻擊者就鉆這個空子：他們先發起登錄流程，拿到一個設備碼，然后發釣魚郵件騙你在真正的微軟頁面上輸入這個碼。

你以為是幫自己的設備登錄，實際上是在給黑客的會話授權。微軟驗證通過后，會發給攻擊者一個訪問令牌——他們不需要你的手機驗證碼，不需要你的安全密鑰，就能直接進你的賬號。

更隱蔽的是另一種手法。攻擊者控制一套中間基礎設施，把你的瀏覽器請求轉發給真正的微軟服務器。頁面看起來完全正常，地址欄也是對的，但你的流量先經過了黑客的服務器。FBI說，這種架構下"你不會看到任何明顯的異常跡象"。

一旦得手，攻擊者能碰到的范圍很廣：OneDrive文件、Outlook郵件、Salesforce等第三方應用。他們還能隨意注冊新設備，甚至設置郵箱規則來隱藏痕跡——比如自動刪除某些郵件，或者把敏感郵件轉發到外部地址。

網絡安全公司Arctic Wolf今年4月詳細分析過這個攻擊鏈。他們指出Kali365的危險性很大程度上來自"易用性"：平臺內置AI生成釣魚內容的功能，提供現成模板，還有受害者追蹤系統。按FBI的說法，"技術門檻較低"的攻擊者也能造成嚴重后果。目前這些人主要在Telegram的加密聊天群里分享工具和情報。

對個人用戶來說，識別釣魚郵件是目前最有效的自保手段。Arctic Wolf發現Kali365的釣魚郵件基于八個固定模板，只有部分內容會替換。看到以下主題行要格外警惕：

? "SharePoint – Document Shared: [某人] shared a file with you"
? "OneDrive – File Shared: [某人] shared 'Document' with you"
? "Teams – New Message: [某人] sent a message in [公司名]"
? "Microsoft 365 – Voicemail: Voicemail from [某人] – [日期]"
? "DocuSign – Signature Required: [某人] requested your signature"
? "Invoice Notification: Invoice #INV-[日期] for [公司名]"
? "Adobe Acrobat Sign – Agreement: Action required: [公司名] agreement from [某人]"
? "Account Security Notification: Account notification for [郵箱]"

這些郵件通常偽裝成Excel、PDF、PowerPoint或Word文件分享，界面設計也盡量做得逼真。但核心套路不變：誘導你點擊，然后讓你在某個地方輸入設備碼或登錄信息。

FBI表示，企業和政府賬號的防護手段更成熟一些。IT管理員可以配置條件訪問策略，限制登錄地點和設備合規性；可以強制要求符合FIDO2標準的安全密鑰，而不是依賴容易被繞過的短信或應用驗證碼；還可以監控異常的郵箱規則變更和新設備注冊行為。

但對普通個人用戶，這些選項大多不可用。你能做的主要是：收到任何要求"輸入代碼"或"確認登錄"的提示時，先問自己——我最近有沒有在新設備上登錄微軟賬號？如果答案是否定的，那個代碼就不是為你準備的。

真正的微軟登錄請求只會出現在你自己主動發起的場景里。任何被動彈出的、郵件里的、聊天工具里的"幫忙確認一下"，都值得先打住，直接去account.microsoft.com檢查自己的登錄活動記錄。

這個案例的諷刺之處在于，攻擊者利用的恰恰是微軟為了提升安全性而設計的機制。設備碼登錄本意是解決電視等設備的輸入難題，結果成了繞過MFA的通道。安全功能的復雜性和真實攻擊面之間的縫隙，有時候比明顯的漏洞更難防范。