1. 風險等級斷依據

此事件具備可大規模影響能力，攻擊鎖定企業員工並可橫向擴散至HR與財務流程；攻擊透過Session Token劫持繞過傳統MFA；攻擊已在實際環境中運作（in-the-wild），且由Microsoft追蹤；同時涉及企業郵件系統與薪資流程，屬於高度敏感業務資料。

2. 報導概述

本事件由Microsoft資安團隊於2026年4月揭露，追蹤一個代號為Storm-2755的攻擊組織，針對加拿大企業員工發動以財務獲利為目的的攻擊行動。

攻擊起始於搜尋引擎投毒（SEO poisoning）與惡意廣告（malvertising），當使用者搜尋「Office 365」或相關關鍵字時，會被引導至偽造的Microsoft 365登入頁面。該頁面結合釣魚與Adversary-in-the-Middle（AiTM）技術，在使用者完成登入流程時，即時攔截帳密與Session Token。

在攻擊鏈中，初始入口為搜尋引擎結果與廣告導流；中繼基礎設施為攻擊者控制的假登入站台與代理伺服器（使用Axios HTTP client進行token轉發）；最終攻擊機制為Session Token重放（Token Replay），使攻擊者可持續存取帳號而無需再次登入。

成功入侵後，攻擊者在受害者郵箱中搜尋與薪資相關的關鍵字（如Payroll、HR），並以受害者身份向HR發送郵件，要求變更薪資匯款帳戶。為避免被發現，攻擊者會建立郵件規則隱藏HR回覆，甚至直接登入企業HR SaaS系統（如Workday）修改銀行資訊，最終將薪資轉入攻擊者帳戶。

3. 技術重點

本攻擊核心為「AiTM + Token劫持」，攻擊者不僅竊取帳密，更攔截完整身份驗證流程後產生的Session Token，從而繞過傳統MFA（如OTP或Push）。技術上利用HTTP代理（Axios 1.7.9）即時轉發驗證流量，使攻擊者能在使用者與合法服務之間建立透明中介，達成合法會話劫持。

攻擊具備高度自動化與規模化特性（SEO poisoning + 廣告投放），並完全利用合法服務（Microsoft 365、Workday）進行操作，屬於典型「合法機制濫用（Living off the Land in Identity）」攻擊模式。攻擊者能力評估屬中高等級，具備身份系統理解、流量代理與社交工程整合能力。

4. 資安風險

此事件最關鍵風險在於攻擊者可取得完整帳號控制權（Account Takeover），且不需持續重新驗證。由於使用合法Session Token，攻擊者可長時間維持存取（Persistence），並以正常使用者行為進行操作，極難被察覺。

5. 對企業營運的實際衝擊

此攻擊直接衝擊企業財務流程（Payroll Integrity），造成即時金流損失與信任危機。

相較傳統釣魚攻擊，本事件危險性在於：

• 郵件來自「真實帳號」，完全繞過信任機制
• MFA形同失效（Token replay）
• 攻擊行為與正常使用難以區分

因此傳統防護（如郵件過濾、MFA）在此情境下無法有效阻擋攻擊，導致企業內控流程（如HR驗證）成為最後且最脆弱的防線。

關鍵觀察（策略層級）

此事件反映攻擊趨勢已進化為「Session / Token劫持」，身份安全（Identity Security）成為主要戰場。攻擊面從IT系統轉移至「搜尋引擎 + 身分驗證流程」，顯示使用者行為（Search → Login）已成為新的攻擊入口。防禦思維需轉向：

• Phishing-resistant MFA（如FIDO2 / Passkey）
• Session監控與異常行為分析
• SaaS層級審計（如登入來源、token使用模式）

資料來源：https://www.helpnetsecurity.com/2026/04/10/poisoned-office-365-search-results-lead-to-stolen-paychecks/