Analitycy ESET zwracają uwagę na EvilTokens, narzędzie typu phishing-as-a-service (PhaaS) służące do przejmowania kont Microsoft 365. Zamiast podrabiać stronę logowania i wykradać hasła, narzędzie nadużywa mechanizmu OAuth 2.0 device authorization grant flow, czyli logowania kodem urządzenia. W efekcie ofiara przechodzi pełne, poprawne uwierzytelnienie na prawdziwym portalu Microsoftu, ale zatwierdza logowanie z urządzenia napastnika, a nie własnego.
Narzędzie EvilTokens jest „promowane” poprzez Telegram i wykorzystywane w atakach co najmniej od lutego 2026 r. Szybko przyjęło się wśród cyberprzestępców, a w marcu 2026 r. posłużyło do ataków wymierzonych w ponad 340 organizacji w kilku krajach. Microsoft opisał też wariant wspierany przez AI, w którym dynamicznie generowano kody urządzeń i personalizowano przynęty, by zwiększyć skuteczność działań.
Jak przebiega atak
Mechanika ataku jest zaskakująco prosta. Zwykle cyberprzestępcy z wyprzedzeniem sprawdzają, czy konto ofiary jest aktywne (Microsoft obserwował takie rozpoznanie nawet 10 do 15 dni przed właściwym atakiem). Potem ofiara dostaje wiadomość udającą fakturę, udostępniony dokument, zaproszenie do kalendarza lub prośbę o dostęp do SharePointa, z krótkim komunikatem typu „Zweryfikuj, aby wyświetlić” albo „Wymagany podpis”. Po kliknięciu ofiara otrzymuje kod urządzenia i zostaje odesłana na prawdziwą stronę logowania Microsoftu (microsoft.com/devicelogin). Jednak kod, który widzi ofiara, w rzeczywistości należy do sesji napastnika. Wpisując go, użytkownik nie loguje siebie, lecz zatwierdza cudze logowanie. W odpowiedzi Microsoft wydaje sesji napastnika token dostępu oraz token odświeżający (refresh token), który pozwala utrzymać dostęp także po wygaśnięciu pierwszego. Od tego momentu napastnik ma dostęp do firmowej poczty, plików, komunikatora Teams i dysku w chmurze, skąd może wykradać dane albo przygotować atak typu BEC. Szczególnie atrakcyjnym celem mogą być konta pracowników działów finansowych, HR, sprzedaży.
Mechanizm logowania kodem urządzenia zaprojektowano dla sprzętu, na którym trudno wpisać hasło, i z założenia rozdziela urządzenie żądające dostępu od tego, na którym użytkownik potwierdza logowanie. To rozdzielenie wykorzystuje EvilTokens. Microsoft ostrzega użytkownika w momencie logowania, by nie wpisywał kodów z niezaufanych źródeł, ale przekonująca przynęta często wystarcza, żeby ofiara zignorowała komunikat.
– EvilTokens eliminuje sygnały ostrzegawcze, których uczyliśmy się latami. Nie ma podejrzanej domeny z literówką ani podrobionego formularza, bo strona logowania jest prawdziwa. Z perspektywy ofiary całe uwierzytelnianie wygląda dokładnie tak, jak powinno. Ten atak podważa też poczucie bezpieczeństwa, jakie daje uwierzytelnianie dwuskładnikowe. Ta druga warstwa ochrony jest dziś ważniejsza niż kiedykolwiek, ale nie zadziała, gdy ofiara własnoręcznie zatwierdzi niewłaściwą sesję. Tu przestępcy nie łamią 2FA żadną techniczną sztuczką, tylko nakłaniają ofiarę, żeby przeszła ten etap za nich – komentuje Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.
Jak ograniczyć ryzyko
Same nawyki użytkownika nie wystarczą wobec ataków nadużywających prawdziwych mechanizmów logowania. Po stronie organizacji Microsoft zaleca ograniczenie logowania kodem urządzenia politykami dostępu warunkowego (Conditional Access) tam, gdzie nie jest ono potrzebne, i zawężenie go do wskazanych użytkowników, urządzeń, lokalizacji lub systemów. Warto też monitorować uwierzytelnienia kodem urządzenia, logowania z nieznanych urządzeń, podejrzane użycie tokenów oraz nowe reguły w skrzynkach pocztowych. Przy potwierdzonym incydencie zespół powinien unieważnić aktywne sesje i tokeny odświeżające, usunąć ewentualne złośliwe reguły w skrzynce i zablokować konto.