Un kit de phishing care exploatează fluxul legitim de autentificare al Microsoft le permite atacatorilor să spargă conturi fără a fura parole și fără a crea pagini de autentificare false. S-a scris mult despre faptul că zilele e-mailurilor de phishing pline de greșeli gramaticale și cu aspect rudimentar sunt numărate, în mare parte dată fiind utilizarea AI. În tot acest timp, EvilTokens oferă un exemplu oarecum diferit despre cât de mult a evoluat arta phishing-ului.

EvilTokens este un kit de tip phishing-as-a-service (PhaaS) conceput pentru compromiterea conturilor Microsoft 365 prin exploatarea fluxului de autorizare a dispozitivelor din cadrul protocolului OAuth 2.0. Deoarece atacurile care utilizează acest kit se bazează pe tehnica numită device code phishing, atacatorii nu mai au nevoie să creeze replici convingătoare ale paginilor oficiale de autentificare pentru a determina victimele să-și divulge parolele. În schimb, atacatorii conving victima să finalizeze un proces legitim de autentificare – inclusiv autentificarea în doi pași (2FA) – direct pe o pagină reală de login a Microsoft.

Toolkit-ul a fost promovat prin intermediul canalelor de Telegram și detectat în atacuri active încă din februarie 2026. Potrivit cercetărilor realizate de Sekoia și de alți specialiști în securitate, kit-ul a fost adoptat rapid de infractorii cibernetici și utilizat într-o serie de atacuri de preluare a conturilor și de compromitere a emailurilor de afaceri (BEC). Printre acestea, s-a numărat și o campanie desfășurată în martie 2026, care a vizat peste 340 de organizații din mai multe țări. Microsoft a descris, la rândul său, o campanie de phishing prin cod de dispozitiv, asistată de inteligență artificială, care a folosit generarea dinamică a codurilor și mesaje-capcană atent personalizate pentru a crește rata de succes a atacurilor EvilTokens.

Cum funcționează EvilTokens

Iată, pe scurt, cum se desfășoară atacurile care utilizează EvilTokens:
– Atacul propriu-zis este precedat de o etapă de „recunoaștere”, în care atacatorii verifică mai întâi dacă adresa de email vizată este activă. Microsoft a observat că această etapă de recunoaștere are loc cu 10 până la 15 zile înainte de atacul efectiv.
– După ce atacatorul a identificat o țintă validă, inițiază o cerere de autorizare a unui dispozitiv Microsoft, pretinzând că este dispozitivul care vrea să se conecteze. Microsoft generează un cod scurt.
– Victima primește un email sau un mesaj care este adesea mascat sub forma unei facturi, a unui document partajat, a unei invitații în calendar sau a unei cereri de acces SharePoint. Mesajul include, de regulă, o pagină-capcană care imită un brand de încredere, însoțită de mesaje simple precum „Verifică pentru a vizualiza” sau „Semnătură obligatorie”.
– După accesarea link-ului, victimei i se solicită introducerea unui cod furnizat de Microsoft. Acesta este valabil doar 15 minute, ceea ce face ca momentul atacului să fie esențial pentru a avea succes.
– Victima vede codul și un buton care deschide portalul oficial de autentificare Microsoft, microsoft.com/devicelogin. Capcana constă în faptul că acel cod aparține de fapt sesiunii atacatorului, astfel că victima autorizează, fără să știe, dispozitivul hackerului, nu pe al ei.
– Odată ce Microsoft validează autentificarea, se emit tokeni de acces și de refresh pentru sesiunea controlată de atacator. După ce intră în sistem, infractorii pot accesa emailurile companiei, fișierele, Teams, SharePoint, OneDrive și alte resurse Microsoft 365, având posibilitatea de a exfiltra date sau de a pregăti atacuri de tip BEC. Din acest motiv, conturile din departamente precum financiar, resurse umane, logistică și vânzări sunt cel mai mult des vizate de atacatori.

Ce face ca EvilTokens să fie atât de periculos

Fluxul de autentificare prin cod de dispozitiv OAuth a fost conceput pentru echipamente pe care autentificarea directă poate fi dificilă, precum televizoarele inteligente, imprimante. În acest proces, dispozitivul afișează un cod scurt, pe care utilizatorul îl introduce pe o pagină oficială Microsoft, folosind un alt dispozitiv, pentru a finaliza autentificarea. Ulterior, Microsoft emite tokeni de acces pentru dispozitivul care a solicitat accesul.

Această separare a procesului de autentificare este utilă, însă lasă loc pentru abuzuri. Atacatorii pot genera codul de autentificare și pot păcăli victima să-l introducă, în timp ce Microsoft vede doar un flux legitim de autentificare. Compania afișează, într-adevăr, un mesaj de avertizare în momentul conectării, prin care utilizatorii sunt sfătuiți să nu introducă coduri primite din surse în care nu au încredere. Cu toate acestea, o pagină-capcană convingătoare poate face victima să ignore sau să treacă cu vederea astfel de avertismente.

De altfel, EvilTokens elimină multe dintre semnalele de alarmă pe care utilizatorii au fost învățați să le recunoască de-a lungul anilor, precum numele de domenii scrise greșit sau paginile false de autentificare. În acest caz, pagina de conectare este autentică, iar din perspectiva victimei, întregul proces de autentificare poate părea perfect normal.

Atacul complică și percepția asupra protecției oferite de autentificarea în doi pași (2FA). Deși acest nivel suplimentar de securitate este mai important ca niciodată, poate deveni ineficient atunci când utilizatorul autorizează, fără să-și dea seama, sesiunea greșită. În astfel de atacuri, infractorii cibernetici nu ocolesc mecanismele 2FA prin tehnici sofisticate sau vulnerabilități tehnice. În schimb, manipulează victima să finalizeze chiar ea procesul de autentificare în doi pași în beneficiul atacatorului.

Cum poate fi redus riscul asociat atacurilor EvilTokens

Recomandările privind protecția împotriva phishingului nu se mai pot rezuma la „verificați link-ul” sau „fiți atent la greșelile de scriere”. Deși aceste obiceiuri rămân utile, nu sunt suficiente în fața atacurilor moderne care exploatează fluxuri legitime de autentificare.

Iată câteva măsuri care pot contribui la reducerea riscului:
– Priviți cu suspiciune orice solicitare neașteptată de introducere a unui cod de autentificare. Niciun document, factură, email sau altă platformă nu ar trebui să solicite un cod de dispozitiv fără un motiv clar. Dacă primiți o astfel de cerere din senin, raportați-o echipei IT a companiei dvs.
– Contextul este mai important decât pagina de autentificare. Înainte de a aproba o solicitare de conectare, verificați ce aplicație cere acces, ce cont este implicat și dacă dvs. ați inițiat cu adevărat acțiunea respectivă. Faptul că pagina aparține Microsoft nu înseamnă automat că solicitarea este sigură.
– Organizațiile ar trebui să restricționeze utilizarea fluxului de autentificare prin cod de dispozitiv acolo unde nu este necesar. Microsoft recomandă implementarea politicilor de Conditional Access pentru a bloca acest mecanism în cazurile în care nu este justificat și pentru a-l limita la anumiți utilizatori, dispozitive, locații sau sisteme de operare.
– Fiți atenți la semnele de activitate suspectă, precum autentificări neobișnuite prin cod de dispozitiv, utilizarea unei infrastructuri necunoscute, conectări riscante, folosirea suspectă a token-urilor de acces sau apariția unor reguli noi în căsuța de email. Oricare dintre acestea poate indica un incident de securitate.
– Programele de conștientizare în domeniul securității trebuie adaptate la noile tactici ale atacatorilor. Angajații trebuie să înțeleagă că phishingul modern nu presupune întotdeauna introducerea parolei pe o pagină falsă. Uneori, atacatorii îi pot determina să introducă un cod real pe o pagină autentică – însă pentru a autoriza dispozitivul greșit.
– Angajații care primesc o solicitare neașteptată de utilizare a unui cod de dispozitiv trebuie să informeze imediat echipele IT sau de securitate. Acestea pot fi nevoite să verifice jurnalele de autentificare, să închidă sesiunile active, să invalideze token-urile de refresh, să elimine eventualele reguli malițioase (care redirecționează sau ascund mesajele) din căsuța de email și să dezactiveze temporar contul compromis.

EvilTokens ne reamintește că atacatorii nu trebuie întotdeauna să spargă ușa sau să fure cheia. Uneori, trebuie doar să convingă pe cineva să o deschidă.