Yeni nesil kimlik avı aracı EvilTokens, parolaları çalmadan ve sahte giriş sayfaları kullanmadan Microsoft 365 hesaplarının ele geçirilmesine imkan tanıyor. ESET, Mart 2026’da çeşitli ülkelerde 340’tan fazla kurumu etkileyen kampanyalar da dahil olmak üzere bu saldırı tekniğini inceledi.
EvilTokens nedir?
EvilTokens, Microsoft’un meşru cihaz kodu akışını kötüye kullanan bir kimlik avı hizmet kiti. Saldırganlar, kullanıcıları gerçek Microsoft oturum açma sürecini —iki faktörlü kimlik doğrulama dahil— tamamlamaya yönlendirerek erişim ve yenileme belirteçlerini ele geçiriyor.
Saldırı nasıl işliyor?
Saldırıdan önce bir keşif aşaması bulunur. Saldırganlar hedef hesabın aktifliğini doğrular; bu adım çoğu kez gerçek kimlik avı girişiminden 10–15 gün önce gerçekleşir.
Kurban, fatura, paylaşılan belge, takvim daveti veya SharePoint erişim isteği gibi görünen bir mesaj alır. Tuzak sayfası, “Görüntülemek için doğrulayın” ya da “İmza gereklidir” gibi ifadelerle kullanıcıyı yönlendirir.
Bağlantıya tıklandığında kurbandan bir cihaz kodu istenir. Kod kısa süre geçerlidir; zamanlama kritiktir. Sayfa kurbana kodu gösterir ve onu gerçek Microsoft giriş portalında kodu girmeye yönlendirir. Hile şudur: Kod saldırganın başlattığı oturuma aittir; kullanıcı farkında olmadan saldırganın oturumunu yetkilendirir.
Geçerli kimlik doğrulama tamamlanınca saldırganın oturumuna erişim ve yenileme belirteçleri verilir. Böylece kurumsal e-posta, dosyalar, Teams, SharePoint, OneDrive ve diğer Microsoft 365 kaynaklarına erişim sağlanır; veri sızdırma ve BEC (kurumsal e-posta dolandırıcılığı) saldırıları planlanabilir.
Kimler hedefte?
Finans, insan kaynakları, lojistik ve satış gibi iş birimleri saldırganların özel ilgisini çekiyor. Bu hesaplar üzerinden veri sızdırma, ödeme yönlendirme ve iç iletişimlerin kötüye kullanımı sık görülüyor.
Uyarı: Gerçek bir Microsoft sayfasında işlem yapmak otomatik olarak güvenli olduğunuz anlamına gelmez. Bağlamı ve isteği her zaman doğrulayın.
EvilTokens’ten korunmak için öneriler
Beklenmedik cihaz kodu taleplerine şüpheyle yaklaşın. Açık ve beklenen bir süreç yoksa hiçbir belge, fatura veya platform cihaz kodu istememelidir. Şüphede BT/güvenlik ekibine bildirin.
Bağlamı doğrulayın. Onay vermeden önce erişim isteyen uygulamayı, ilgili hesabı ve işlemi gerçekten sizin başlatıp başlatmadığınızı kontrol edin.
Cihaz kodu akışını kısıtlayın. Kuruluşlar, gerekmediği durumlarda cihaz kodu akışını kapatmalı; Koşullu Erişim ile belirli kullanıcılar, cihazlar, konumlar veya işletim sistemleriyle sınırlamalıdır.
Şüpheli etkinlikleri izleyin. Olağandışı cihaz kodu doğrulamaları, tanıdık olmayan altyapılar, riskli oturum açmalar, şüpheli belirteç kullanımı ve yeni gelen kutusu kuralları uyarı işaretidir.
Güncel farkındalık eğitimi verin. Modern kimlik avı her zaman sahte sayfaya parola girmeyi gerektirmez; bazen meşru sayfada yanlış cihaza ait kodu girmeniz istenir.
Olay müdahalesini hızlandırın. Şüpheli talepleri bildiren çalışanlar sayesinde ekipler oturum günlüklerini inceleyebilir, oturumları iptal edebilir, yenileme belirteçlerini geçersiz kılabilir, kötü amaçlı gelen kutusu kurallarını kaldırabilir ve gereken hesapları geçici olarak devre dışı bırakabilir.
