EvilTokens: Phishing cez autorizáciu na stránke Microsoft

BVF eviltokens nahladovy obrazok

Phishing zneužívajúci legitímny prihlasovací proces Microsoftu umožňuje útočníkom preniknúť do účtov bez krádeže hesiel či vytvárania falošných prihlasovacích stránok.

Phishing založený na e-mailoch plných gramatických chýb s jednoduchým vizuálnym spracovaním je najmä vďaka umelej inteligencii na ústupe. EvilTokens však ukazuje trochu iným spôsobom, ako veľmi sa phishing za posledné roky posunul.

EvilTokens je phishing-as-a-service (PhaaS) toolkit určený na kompromitáciu účtov Microsoft 365 prostredníctvom zneužitia autorizačného toku OAuth 2.0 pre zariadenia, takzvaného device authorization grant flow. Keďže útoky využívajúce EvilTokens stoja na phishingu cez kódy zariadení (device code phishing), útočníci nepotrebujú presvedčivé kópie legitímnych prihlasovacích stránok, na ktorých by obete zadávali svoje heslá. Namiesto toho obeť prinútia dokončiť legitímny proces prihlásenia – vrátane dvojfaktorovej autentifikácie (2FA) – na skutočnej prihlasovacej stránke Microsoftu.

Toolkit bol propagovaný cez kanály na Telegrame a v aktívnych útokoch sa objavuje minimálne od februára 2026. Ako zdokumentovali spoločnosť Sekoia a ďalší výskumníci, kit si rýchlo osvojili kyberzločinci a nasadili ho pri viacerých útokoch zameraných na prevzatie účtov a kompromitáciu firemnej e-mailovej komunikácie, známu ako BEC (business email compromise).

Patrila sem aj kampaň z marca 2026, ktorá cielila na viac ako 340 organizácií vo viacerých krajinách. Samotný Microsoft opísal aj phishingovú kampaň využívajúcu kódy zariadení, pri ktorej útočníci nasadili umelú inteligenciu, dynamické generovanie kódov a cielené návnady s cieľom zvýšiť úspešnosť útokov EvilTokens.

Ako funguje EvilTokens phishing

Tu je stručný prehľad toho, ako prebiehajú útoky využívajúce EvilTokens:

  1. Útoku predchádza prieskum.
    Útočníci si najskôr overia, či je cieľový účet aktívny. Microsoft zaznamenal, že tento prieskum prebiehal 10 až 15 dní pred samotným phishingovým pokusom.
  2. Obeť dostane e-mail alebo správu s návnadou.
    Tá často pôsobí ako faktúra, zdieľaný dokument, pozvánka do kalendára alebo žiadosť o prístup k SharePointu. Súčasťou návnady býva podvodná stránka napodobňujúca dôveryhodnú značku a jednoduchý text typu „Overte sa pre zobrazenie“ alebo „Vyžaduje sa podpis“.
  3. Po kliknutí stránka požiada Microsoft o kód.
    Tento kód je platný len 15 minút, preto je pri útoku dôležité načasovanie.
  4. Obeť zadá kód na skutočnej stránke Microsoftu.
    Podvodná stránka obeti zobrazí kód a nasmeruje ju na legitímny prihlasovací portál Microsoftu na adrese microsoft.com/devicelogin. Háčik je v tom, že kód patrí relácii útočníka. Obeť tak nevedomky autorizuje zariadenie útočníka, nie svoje vlastné.
  5. Microsoft vydá prístupové tokeny útočníkovej relácii.
    Keďže z pohľadu Microsoftu ide o platné prihlásenie, útočník získa prístupové a obnovovacie tokeny. Po preniknutí do účtu môžu zločinci pristupovať k firemným e-mailom, súborom, Teams, SharePointu, OneDrivu a ďalším zdrojom v Microsoft 365. Následne môžu exfiltrovať dáta alebo pripravovať BEC útoky. Práve preto sú pre nich obzvlášť zaujímavé účty z oddelení financií, HR, logistiky a predaja.

Zostaňte v obraze
a o krok pred útočníkmi.

Prihláste sa na odber nášho newslettra a každý mesiac získajte prehľad o aktuálnych hrozbách aj praktické rady, ako chrániť firmu.

Túto stránku chráni reCAPTCHA, platia Pravidlá ochrany súkromia a Zmluvné podmienky spoločnosti Google.
Loading

Prečo je EvilTokens phishing nebezpečný

Autorizačný tok cez kód zariadenia bol navrhnutý pre zariadenia, na ktorých je priame prihlásenie nepraktické – napríklad smart televízory alebo tlačiarne. Zariadenie zobrazí krátky kód, ktorý používateľ zadá na stránke Microsoftu v inom zariadení a tam dokončí autentifikáciu. Microsoft následne vydá prístupové tokeny zariadeniu, ktoré o prístup požiadalo.

Toto oddelenie zariadenia a prihlasovacieho procesu je užitočné, no zároveň vytvára priestor na zneužitie. Útočníci môžu vygenerovať kód a obeť presvedčiť, aby ho zadala. Microsoft pritom vidí len legitímny autentifikačný proces. Spoločnosť síce používateľov pri prihlasovaní upozorňuje, aby nezadávali kódy zo zdrojov, ktorým nedôverujú, no presvedčivá návnada môže stačiť na to, aby obeť varovanie prehliadla.

EvilTokens navyše odstraňuje mnohé varovné signály, na ktoré boli ľudia roky školení – napríklad preklepy v doménach alebo falošné prihlasovacie stránky. Prihlasovacia stránka je skutočná a z pohľadu obete môže celý proces pôsobiť úplne legitímne.

Útok zároveň komplikuje vnímanie bezpečnostnej ochrany, ktorú poskytuje 2FA. Druhý faktor autentifikácie je dnes dôležitejší než kedykoľvek predtým, no v tomto prípade nestačí, ak obeť schváli nesprávnu reláciu. Útočníci tu 2FA neobchádzajú žiadnym technickým trikom – jednoducho obeť oklamú, aby ho dokončila za nich.

Ako znížiť riziko

Odporúčania na ochranu pred phishingom už nemôžu stáť len na radách typu „skontrolujte odkaz“ alebo „hľadajte preklepy“. Tieto návyky sú stále užitočné, no nestačia proti moderným útokom, ktoré zneužívajú skutočné autentifikačné procesy.

Niekoľko odporúčaní, ako sa chrániť pred EvilTokens:

  • Každú neočakávanú žiadosť o zadanie autentifikačného kódu považujte za podozrivú.
    Žiadny dokument, faktúra, e-mail ani iná platforma by od vás nemali bez jasného dôvodu žiadať kód zariadenia. Ak takáto požiadavka príde nečakane, nahláste ju firemnému IT alebo bezpečnostnému tímu.
  • Kontext je dôležitejší než samotná stránka.
    Pred schválením akéhokoľvek prihlásenia si overte, ktorá aplikácia žiada o prístup, ktorého účtu sa to týka a či ste túto akciu skutočne iniciovali. To, že ide o reálnu stránku Microsoftu, ešte automaticky neznamená, že požiadavka je bezpečná.
  • Organizácie by mali obmedziť alebo úplne zablokovať tok cez kód zariadenia tam, kde nie je potrebný.
    Microsoft odporúča používať politiky podmieneného prístupu (Conditional Access) na blokovanie tohto autentifikačného toku všade, kde nie je nevyhnutný, prípadne ho obmedziť na konkrétnych používateľov, zariadenia, lokality alebo operačné systémy.
  • Sledujte neobvyklé prihlasovanie cez kódy zariadení.
    Varovnými signálmi môžu byť neznáma infraštruktúra, rizikové prihlásenia, podozrivé používanie tokenov či nové pravidlá v e-mailovej schránke.
  • Bezpečnostné školenia musia reflektovať nové taktiky útočníkov.
    Zamestnanci by mali rozumieť tomu, že moderný phishing nemusí vždy znamenať zadanie hesla na falošnej stránke. Niekedy ich útočník môže požiadať, aby zadali skutočný kód na skutočnej stránke – no pre nesprávne zariadenie.

Ak zamestnanec dostane neočakávanú žiadosť o zadanie kódu zariadenia, mal by o tom bezodkladne informovať firemný IT alebo bezpečnostný tím. Ten môže následne preveriť prihlasovacie logy, zrušiť aktívne relácie, zneplatniť obnovovacie tokeny, odstrániť škodlivé pravidlá v e-mailovej schránke a dočasne deaktivovať kompromitovaný účet.

EvilTokens je pripomienkou, že útočníci nemusia vždy vylomiť vchodové dvere alebo ukradnúť kľúč. Niekedy im stačí presvedčiť niekoho, aby im ich sám otvoril.