Siber güvenlik şirketi ESET, Microsoft'un kimlik doğrulama akışını hedef alan yeni kuşak bir tehdit tespit etti. EvilTokens olarak adlandırılan bu kimlik avı hizmeti, saldırganların parola çalmadan veya sahte giriş sayfaları kullanmadan Microsoft 365 hesaplarına erişmesini sağlıyor.
Saldırı, hedef hesabın aktif olduğunun doğrulanması aşamasından sonra başlıyor. Kurban, fatura veya belge gibi görünen, ancak kimlik doğrulama kodu istemeye yönlendiren bir e-posta alıyor. Mağdur linke tıkladığında, sayfası Microsoft'un gerçek cihaz giriş portalına yönlendiriliyor. Ancak kullanıcının otoriteleştirdiği kod aslında saldırganın cihazına ait olduğundan, suçlu erişim ve yenileme tokenlerini ele geçiriyor.
Erişim sağlayan saldırganlar, kurumsal e-postalar, dosyalar, Teams, SharePoint ve OneDrive dahil tüm Microsoft 365 kaynaklarına ulaşabiliyor. 2026 Mart'ında bu araç seti, çeşitli ülkelerdeki 340'tan fazla kuruluşu hedef alan kampanyalarda kullanıldığı tespit edildi. ESET, kullanıcıların kimlik doğrulama kodu talepleri konusunda şüpheci olmasını ve hiçbir meşru platformun açık sebep olmaksızın cihaz kodunu istememesi gerektiğini vurguluyor.
