Jalisco 与 OmegaLord 钓鱼套件瞄准 Microsoft 365:可绕过 MFA 的账号风险上升
据 BleepingComputer 2026 年 7 月 14 日报道,安全研究人员发现两款新的钓鱼套件 Jalisco 和 OmegaLord,已被用于针对 Microsoft 365 账号的攻击活动。这类工具的重点并不只是盗取密码,而是通过更贴近真实登录流程的方式,试图规避多因素认证(MFA)带来的保护。对于依赖 Microsoft 365 处理邮件、文档协作、远程会议和企业账号登录的跨境用户来说,相关风险不只影响邮箱本身,也可能波及支付通知、云端文件、第三方平台登录与远程办公权限。
新钓鱼套件为何值得关注
Microsoft 365 账号在跨境工作和海外业务中经常承担“身份中枢”的角色:企业邮箱用于接收银行、广告平台、SaaS 服务、物流和客户沟通信息;同一账号还可能关联 Teams、OneDrive、SharePoint 等协作工具。来源显示,Jalisco 和 OmegaLord 这两类新套件被发现用于攻击 Microsoft 365,并采用可对抗 MFA 的技术,这意味着用户即便开启了短信、验证器或推送确认,也不能把它视为绝对安全边界。
传统钓鱼往往诱导用户在假页面输入用户名和密码,攻击者随后直接尝试登录。近年来,攻击手法逐渐转向“实时中转”或类似会话劫持思路:用户看到的页面可能高度仿真,输入凭据和认证信息后,攻击者尝试获取可用于维持登录状态的会话数据。来源并未披露所有攻击细节,但“可绕过 MFA”本身说明风险已从单纯密码泄露升级为登录会话安全问题。
对跨境账号、支付与远程办公的影响
跨境用户通常同时使用多个地区的云服务、广告账户、收款工具和企业后台。一旦 Microsoft 365 邮箱被接管,攻击者可能借助邮件重置其他平台密码、拦截付款确认、冒充企业人员发起转账指令,或读取与客户、供应商往来的敏感资料。对于团队协作场景,被盗账号还可能进入共享文档、会议记录和内部群组,造成更广泛的信息暴露。
需要特别注意的是,MFA 仍然是重要防线,但它并不能替代对登录页面、设备环境和会话状态的检查。跨境办公经常涉及不同国家或地区的网络出口,用户可能在酒店、共享办公室、机场 Wi-Fi 或远程桌面环境中登录账号。若在不可信页面输入凭据,或在被植入恶意链接的邮件中完成验证,网络位置是否“看起来正常”并不能保证登录行为安全。
跨境用户可优先检查的防护要点
- 核对登录域名:访问 Microsoft 365 时尽量通过书签、官方应用或手动输入地址进入,不从邮件按钮直接跳转登录。
- 审查异常会话:管理员应定期查看账号登录记录、陌生设备、异常地区访问以及可疑的持久登录状态。
- 减少邮件重置风险:重要支付、广告、云服务账号不要只依赖同一个邮箱完成找回,必要时增加独立审批或二次确认流程。
- 强化团队培训:提醒成员不要在“重新验证邮箱”“文件共享过期”“会议邀请异常”等页面中匆忙输入凭据。
- 分级管理权限:远程办公账号应遵循最小权限原则,避免普通邮箱同时拥有财务、管理员和关键云盘权限。
如何看待 VPN 与访问环境
对跨境用户而言,稳定、可信的访问环境有助于减少账号风控误判,也便于区分异常登录。但 VPN、代理或远程网络工具不能识别假登录页,也不能阻止用户把验证码或会话交给攻击者。因此,使用固定网络出口只是账号安全策略的一部分,不能替代域名核验、设备安全、权限隔离和登录告警。
总体来看,Jalisco 与 OmegaLord 的出现再次提醒企业和个人:Microsoft 365 账号安全已不再是“密码加 MFA”这么简单。对于依赖海外平台开展业务的团队,建议把邮箱、支付通知、云文档和远程办公权限放在同一套风险模型中管理,尤其要关注钓鱼链接、会话劫持和异常登录这三类信号。