EvilTokens ile Microsoft 365 hesapları ele geçiriliyor

Siber güvenlik firmaları, Microsoft 365 hesaplarını hedef alan yeni bir kimlik avı kiti olan EvilTokens'ı ortaya çıkardı. Bu araç, geleneksel kimlik avı yöntemlerinden farklı olarak cihaz kodu kimlik avı (device code phishing) tekniğini kullanıyor. Saldırganlar, kurbanları gerçek Microsoft oturum açma sayfasına yönlendirerek iki faktörlü kimlik doğrulamayı (2FA) bile etkisiz hale getirebiliyor.

EvilTokens, ilk olarak 2026 yılının Mart ayında 340'tan fazla kuruluşu hedef alan büyük bir kampanyada tespit edildi. Saldırılar, özellikle finans, insan kaynakları, lojistik ve satış departmanlarına odaklanıyor. Kurbanlar, genellikle fatura, paylaşılan belge veya takvim daveti gibi görünen e-postalar alıyor. E-postadaki bağlantıya tıklayan kullanıcı, Microsoft'tan bir kod istendiğini gören bir sayfaya yönlendiriliyor. Bu kod, yalnızca 15 dakika geçerli oluyor.

Saldırının kritik noktası, kodun saldırganın oturumuna ait olması. Kurban, kodu gerçek Microsoft oturum açma portalına (microsoft. com/devicelogin) girdiğinde, farkında olmadan saldırganın cihazını yetkilendirmiş oluyor. Microsoft, geçerli oturum açma bilgisi algıladığında saldırgana erişim ve yenileme jetonları veriyor. Bu sayede suçlular, kurumsal e-postalara, dosyalara, Teams, SharePoint ve OneDrive'a erişebiliyor.

Saldırı öncesinde bir "keşif" aşaması yer alıyor. Microsoft, bu aşamanın gerçek kimlik avı girişiminden 10 ila 15 gün önce gerçekleştirildiğini gözlemledi. Kötü niyetli kişiler, hedef hesabın aktif olup olmadığını doğruluyor. EvilTokens'ın hızla benimsenmesi, siber suçluların bu tür araçlara olan ilgisini gösteriyor. Uzmanlar, kullanıcıların şüpheli e-postalardaki bağlantılara tıklamaması ve cihaz kodu istemlerine karşı dikkatli olması gerektiğini vurguluyor.