Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko w ciągu miesiąca posłużył do ataku na setki organizacji. Jego siła polega na tym, że cyberprzestępca może włamać się na konta Microsoft 365 bez kradzieży haseł i bez podstawiania fałszywych stron logowania. Ofiara loguje się na prawdziwym portalu Microsoftu, z włączonym uwierzytelnianiem dwuskładnikowym, i sama, nieświadomie, zatwierdza logowanie z urządzenia napastnika.
EvilTokens działa w modelu phishing-as-a-service, czyli gotowego narzędzia, które przestępca kupuje i wdraża bez własnej wiedzy technicznej. Narzędzie to jest “promowane” poprzez Telegram i wykorzystywane w atakach co najmniej od lutego 2026 r. Szybko przyjęło się wśród cyberprzestępców, a w marcu 2026 r. posłużyło do przeprowadzenia ataków wymierzonych w ponad 340 organizacji w kilku krajach. Microsoft opisał też wariant ataku wspieranego przez AI, w którym dynamicznie generowano kody urządzeń i personalizowano przynęty, by zwiększyć skuteczność działań.
Mechanika ataku jest zaskakująco prosta. Zwykle cyberprzestępcy z wyprzedzeniem sprawdzają, czy konto ofiary jest aktywne (Microsoft obserwował takie rozpoznanie nawet 10 do 15 dni przed właściwym atakiem). Potem ofiara dostaje wiadomość udającą fakturę, udostępniony dokument, zaproszenie do kalendarza lub prośbę o dostęp do SharePointa, z krótkim komunikatem typu „Zweryfikuj, aby wyświetlić” albo „Wymagany podpis”. Po kliknięciu ofiara otrzymuje kod urządzenia i zostaje odesłana na prawdziwą stronę logowania Microsoftu (microsoft.com/devicelogin). Jednak kod, który widzi ofiara, w rzeczywistości należy do sesji napastnika. Wpisując go, użytkownik nie loguje siebie, lecz zatwierdza cudze logowanie. W ten sposób napastnik zyskuje dostęp do firmowej poczty, plików, komunikatora Teams i dysku w chmurze, skąd może wykradać dane albo przygotować atak typu BEC, czyli oszustwo wykorzystujące przejętą firmową pocztę.
– EvilTokens eliminuje sygnały ostrzegawcze, których uczyliśmy się latami. Nie ma podejrzanej domeny z literówką ani podrobionego formularza, bo strona logowania jest prawdziwa. Z perspektywy ofiary całe uwierzytelnianie wygląda dokładnie tak, jak powinno. Ten atak podważa też poczucie bezpieczeństwa, jakie daje uwierzytelnianie dwuskładnikowe. Ta druga warstwa ochrony jest dziś ważniejsza niż kiedykolwiek, ale nie zadziała, gdy ofiara własnoręcznie zatwierdzi niewłaściwą sesję. Tu przestępcy nie łamią 2FA żadną techniczną sztuczką, tylko nakłaniają ofiarę, żeby przeszła ten etap za nich – komentuje Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.
Jak ograniczyć ryzyko
Zalecenia typu „sprawdź adres strony” czy „zwróć uwagę na literówki” wciąż są przydatne, ale nie chronią przed atakami, które nadużywają prawdziwych mechanizmów logowania. Po stronie organizacji istotne jest ograniczenie logowania kodem urządzenia tam, gdzie nie jest ono potrzebne, na przykład za pomocą polityk dostępu warunkowego, oraz monitorowanie nietypowych logowań i nieznanych urządzeń.
– Kluczowy w tym przypadku staje się kontekst. Zanim zatwierdzimy jakiekolwiek logowanie, warto sprawdzić, która aplikacja prosi o dostęp i jakiego konta ta prośba dotyczy. Odesłanie do prawdziwej strony Microsoftu nie przesądza jeszcze o tym, że żądanie jest bezpieczne. Dlatego każdą niespodziewaną prośbę o wprowadzenie kodu urządzenia należy traktować jako podejrzaną i zgłosić ją działowi IT lub bezpieczeństwa – mówi Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.





