Siber güvenlik araştırmaları yapan ESET, Microsoft'un kimlik doğrulama akışını hedef alan sofistike bir tehdit tespit etti. EvilTokens adlı kimlik avı hizmeti, saldırganların geleneksel parola çalma veya sahte giriş sayfaları olmadan Microsoft 365 hesaplarına erişmesini mümkün kılıyor.
Saldırı akışı, hedef hesabın aktif olduğunun doğrulanmasından sonra başlıyor. Kurban, meşru belge veya faturaya benzetilmiş bir e-posta aracılığıyla kimlik doğrulama kodunu girmeye yönlendiriliyor. Mağdur linke tıkladığında, sayfa Microsoft'un gerçek cihaz giriş portalına yönlendirilse de, kullanıcının otoriteleştirdiği kod aslında saldırganın cihazına ait olmaktadır. Bu sayede saldırgan, erişim ve yenileme tokenlerini ele geçirerek kurumsal e-postalar, dosyalar, Teams, SharePoint ve OneDrive dahil tüm Microsoft 365 kaynaklarına tam erişim sağlıyor.
ESET, Mart 2026'da bu araç setinin çeşitli ülkelerdeki 340'tan fazla kuruluşu hedef alan geniş çaplı kampanyalarda kullanıldığını tespit etti. Güvenlik uzmanları, kullanıcıların kimlik doğrulama kodu talepleri konusunda şüpheci olmasını ve meşru platformların açık bir iş nedeni olmaksızın cihaz kodunu talep etmemesi gerektiğini vurguluyorlar.
