钓鱼: 社交平台OAuth劫持钓鱼

社交平台OAuth劫持钓鱼（Social Platform OAuth Hijacking Phishing）是利用第三方应用授权机制实施的高级钓鱼技术。攻击者伪造合法的OAuth应用注册信息，诱导受害者授权访问其社交平台账户权限。该技术通过正规平台的API接口实现攻击流程，在授权过程中窃取用户访问令牌，进而绕过双因素认证等安全机制，直接获取目标账户的完全控制权。由于整个交互过程在可信平台内完成，传统基于恶意链接检测的防御体系难以有效识别。

该技术的匿迹特性源于对合法业务流程的深度寄生。攻击者首先在主流社交平台注册外观合规的第三方应用，伪造隐私政策和使用条款，通过官方审核获取开发者资质。钓鱼阶段构造精心设计的授权请求页面，利用平台白名单域名托管恶意前端代码，在用户执行OAuth授权流程时实施中间人攻击。关键突破点在于：1) 利用社交平台的信誉背书消除用户戒备；2) 授权过程全程采用HTTPS加密通信，规避网络层检测；3) 窃取的访问令牌可通过API直接访问用户数据，无需传统凭证收集环节。攻击者还采用动态重定向技术，对已获取令牌的用户跳转至真实服务页面，进一步掩盖恶意行为。这种技术将钓鱼攻击嵌入平台的标准身份验证流程，使得传统基于URL信誉或附件分析的防御机制完全失效。