EvilTokens, Microsoft 365 hesaplarını ele geçirmek üzere geliştirilmiş bir kimlik avı hizmeti kiti. Bu kiti kullanan saldırılar, cihaz kodu kimlik avına dayandığından, kurbanların parolalarını girecekleri gerçek oturum açma sayfalarının ikna edici kopyalarına ihtiyaç duymuyorlar. Bunun yerine saldırganlar, kurbanı gerçek bir Microsoft oturum açma sayfasında iki faktörlü kimlik doğrulama (2FA) dâhil olmak üzere meşru bir kimlik doğrulama sürecini tamamlamaya yönlendiriyor.
Siber suçlular tarafından hızla benimsenen bu araç setinin 2026 yılının Mart ayında çeşitli ülkelerdeki 340’tan fazla kuruluşu hedef alan bir kampanya da dâhil olmak üzere, bir dizi hesap ele geçirme ve kurumsal e-posta dolandırıcılığı (BEC) saldırısında kullanıldığı tespit edildi.
EvilTokens’ı kullanan saldırılar nasıl gerçekleşiyor?
En güncel haberlere ve son dakika gelişmelerine Google üzerinden anında ulaşmak için bizi favorilerinize ekleyin.
Saldırının öncesinde, kötü niyetli kişilerin önce hedef hesabın aktif olup olmadığını doğruladığı bir “keşif” aşaması yer alır. Microsoft, bu keşif aşamasının gerçek kimlik avı girişiminden 10 ila 15 gün önce gerçekleştirildiğini gözlemlemiştir.
Mağdur, genellikle fatura, paylaşılan belge, takvim daveti veya SharePoint erişim isteği gibi görünen bir e-posta veya mesaj alır. Yem, güvenilir bir markayı taklit eden bir tuzak sayfası ile birlikte “Görüntülemek için doğrulayın” veya “İmza gereklidir” gibi basit ifadelerden oluşur.
Kurban bağlantıya tıkladığında, sayfa Microsoft’tan bir kod ister. Kod yalnızca 15 dakika boyunca geçerlidir; bu nedenle burada zaman ve zamanlama hayati önem taşır.
Sayfa, kurbana kodu gösterir ve onu Microsoft’un gerçek microsoft.com/devicelogin oturum açma portalına yönlendirir. İşin püf noktası, kodun saldırganının oturumuna ait olmasıdır; bu nedenle kurban, farkında olmadan kendi cihazını değil, saldırganın cihazını yetkilendirir.
Geçerli bir oturum açma bilgisi algıladığında Microsoft, saldırgan tarafından açılan oturuma erişim ve yenileme jetonları verir. Sisteme girdikten sonra suçlular, kurumsal e-postalara, dosyalara, Teams’e, SharePoint’e, OneDrive’a ve diğer Microsoft 365 kaynaklarına erişebilir ve verileri sızdırabilir ya da BEC saldırıları hazırlayabilir. Bu nedenle finans, İK, lojistik ve satış hesapları saldırganların büyük ilgisini çekmektedir.
(Kaynak: CNN)