CyberbezpieczeństwoRynek
Microsoft 365 na celowniku. Nowy phishing przejmuje konta bez kradzieży haseł
Eksperci ESET ostrzegają przed kampanią phishingową wykorzystującą narzędzie EvilTokens, które umożliwia przejmowanie kont Microsoft 365 bez kradzieży haseł i omijania uwierzytelniania dwuskładnikowego. Ofiara loguje się na prawdziwej stronie Microsoftu i nieświadomie autoryzuje sesję cyberprzestępcy. Tylko w marcu 2026 roku rozwiązanie wykorzystano do ataków na ponad 340 organizacji.

EvilTokens działa w modelu phishing-as-a-service, czyli gotowego narzędzia, które przestępca kupuje i wdraża bez własnej wiedzy technicznej. Narzędzie to jest “promowane” poprzez Telegram i wykorzystywane w atakach co najmniej od lutego 2026 roku. Mechanizm ataku bazuje na funkcji logowania urządzeń Microsoft. Ofiara otrzymuje wiadomość podszywającą się pod fakturę, dokument lub zaproszenie do współpracy. Po kliknięciu zostaje przekierowana na autentyczną stronę microsoft.com/devicelogin, gdzie wpisuje kod urządzenia. Problem polega na tym, że kod należy do sesji rozpoczętej przez napastnika. W efekcie użytkownik sam autoryzuje jego dostęp do firmowego konta.
„EvilTokens eliminuje sygnały ostrzegawcze, których uczyliśmy się latami. Nie ma podejrzanej domeny z literówką ani podrobionego formularza, bo strona logowania jest prawdziwa. Z perspektywy ofiary całe uwierzytelnianie wygląda dokładnie tak, jak powinno. Ten atak podważa też poczucie bezpieczeństwa, jakie daje uwierzytelnianie dwuskładnikowe. Ta druga warstwa ochrony jest dziś ważniejsza niż kiedykolwiek, ale nie zadziała, gdy ofiara własnoręcznie zatwierdzi niewłaściwą sesję. Tu przestępcy nie łamią 2FA żadną techniczną sztuczką, tylko nakłaniają ofiarę, żeby przeszła ten etap za nich” – komentuje Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.
Po przejęciu konta cyberprzestępca może uzyskać dostęp do poczty, plików, Microsoft Teams oraz usług chmurowych, a następnie wykorzystywać je do kradzieży danych lub oszustw typu BEC (Business Email Compromise).
Eksperci zalecają organizacjom ograniczenie możliwości logowania kodem urządzenia tam, gdzie nie jest ono niezbędne, monitorowanie nietypowych logowań oraz edukowanie pracowników. Każda niespodziewana prośba o wpisanie kodu urządzenia – nawet jeśli prowadzi do prawdziwej strony Microsoftu – powinna wzbudzić czujność i zostać zgłoszona działowi IT lub bezpieczeństwa.






