深度分析 MFA 與 OAuth 風險:Kali365 裝置代碼濫用、Teams 語音釣魚與令牌持久性 CrowdStrike、FBI與Verizon報告指出金融業遭遇以語音釣魚與OAuth裝置代碼濫用為主的新型入侵。攻擊者透過冒充IT客服要求MFA重設或誘導進行裝置代碼驗證,取得可長期使用的存取權。結果顯示傳統以密碼與單層MFA為主的防護面臨結構性失衡,防守重點須轉向令牌與會話層面的偵測與控管。
