MFA失效｜Microsoft揭大規模釣魚襲擊　全球逾萬組織中招 

以為啟動了多重因素認證（MFA）就足以保護員工帳戶安全？Microsoft 最新發表的安全報告就詳細揭露了一場針對全球超過 35,000 名用戶的大規模憑證竊取活動。研究員指黑客除了運用了多種技巧避過電郵安全工具的檢測，更擅於在精神層面向受害者施壓，導致不少企業員工中招，拱手送出帳戶登入 Token，黑客就毋須再想辦法攞 MFA 驗證碼，徹底攻破這項驗證技術。

黑客鎖定目標極具針對性

根據微軟調查顯示，這場跨國釣魚行動主要發生在今年 4 月 14 至 16 日，雖然 92% 目標來自美國，但仍有 25 個國家、13,000 個組織的員工被牽連。黑客鎖定的目標極具針對性，主要集中在醫療保健與生命科學（19%）、金融服務（18%）以及專業諮詢服務（11%）等擁有大量敏感數據的行業，黑客好明顯不是盲打誤撞，而是特別挑選了「含金量」最高的行業落手。

這次攻擊的成功之處在於極高水準的偽裝技巧，專家指出黑客棄用以往那些語法不通、排版簡陋的釣魚電郵，轉而採用製作精細的企業級 HTML 模板。電郵內明確寫著「內部監管 COC」、「團隊行為報告」等字眼，主題更寫有「內部違規案件記錄」等帶有催促收件員工盡快解決問題及令人焦慮的字眼，在精神層面為員工製造壓力。

另外，電郵的頂部還煞有介事地標註「經由授權內部渠道發布」及「附件已通過安全審查」等虛假聲明，利用「權威感」與「緊迫感」的心理戰術，就算平日有警覺性的人也容易跌入陷阱。

Quishing 增長最驚人

在技術層面方面，攻擊通常始於一個 PDF 附件，內嵌連結會將受害者導向精心設計的頁面。為了躲避安全沙箱及自動化掃描的偵測，黑客在路徑中設置了 CAPTCHA 驗證關卡。當受害者完成驗證後，便會進入最致命的「中間人攻擊」（AiTM）環節。與傳統釣魚網站只是單純收集帳戶密碼不同，AiTM 能夠在受害者登錄時即時攔截並竊取認證 Token，代表黑客可以藉著會話 Token 直接登入受害者帳戶，不用再通過 MFA 驗證，令人防不勝防。

此外，微軟的報告還分析了 2026 年首季釣魚攻擊的趨勢。數據顯示在今年前三個月共偵測到 83 億次電郵威脅，其中 Quishing 的增長最為驚人，在三個月內激增 146%。報告同時顯示，黑客愈來愈傾向利用 Amazon SES 等信譽良好的合法電郵服務發送釣魚電郵，借助其合法性繞過 SP 或 DMARC 等安全驗證。

面對黑客總是魔高一丈的策略，企業除了升級系統，可能更需要重新審視內部溝通與認證流程的細節，才能避免成為下一個中招的受害者。

資料來源：https://thehackernews.com/2026/05/microsoft-details-phishing-campaign.html