Bir siber güvenlik analizinde EvilTokens olarak adlandırılan kimlik avı aracı, kullanıcı adları ve parolalar yerine meşru bir kimlik doğrulama akışını kullanıcının gözüne daha güvenli gelen bir yol olarak sunar. Saldırıları inceleyen uzmanlar, kurbanları sahte sayfalara yönlendirmek yerine gerçek Microsoft oturum açma sürecini işletmeye dahil eden bir mekanizma keşfettiler. Bu yaklaşım, özellikle 2026 Mart’ında birçok ülkede yüzlerce kuruluşa ulaşan geniş bir kampanyaya kadar uzanan bir dizi hesap ele geçirme ve BEC saldırısında kullanıldı. EvilTokens’u kullanan saldırıların temel mantığı şu şekilde işlemiştir: Öncelikle kötü niyetli kişiler, hedef hesabın aktif olup olmadığını öğrenmek için bir keşif aşaması yürütürler. Microsoft tarafı, bu adımı gerçek kimlik avı girişiminden yaklaşık 10 ila 15 gün önce tespit etti. Ardından hedeflenen kullanıcıya, faturalar, paylaşılan belgeler veya takvim davetleri gibi meşru görünümlü bir ileti iletilir. Yanıltıcı öğe, “Görüntülemek için doğrulayın” veya “İmza gereklidir” gibi ifadelere sahip sahte bir tuzak sayfasıdır. Kullanıcı bağlantıya tıkladığında, sistemden bir kod talep edilir ve bu kod yalnızca 15 dakika boyunca geçerlidir. Sahte sayfa, kurbanı gerçek Microsoft oturum açma portalına yönlendirir ve kod saldırganın cihazında kullanılarak yetkilendirme işlemi tamamlanır. Böylece kurban kendi cihazı yerine saldırganın cihazını yetkilendirmiş olur. Microsoft bu durumda geçerli oturum açma bilgilerinin ele geçirildiğini algılar ve saldırganın oturumuna erişim ile yenileme jetonları verilir. Bu şekilde saldırganlar, kurumsal e-postalara, dosyalara, Teams, SharePoint, OneDrive ve diğer Microsoft 365 kaynaklarına erişimi ele geçirirler; bu durum finans, İnsan Kaynakları, lojistik ve satış birimlerinde yoğunlaşır.EvilTokens’a karşı alınacak temel önlemler
- Kimlik doğrulama için gelen beklenmedik istekler şüpheli olarak değerlendirilmeli; cihaz kodunu isteyen herhangi bir iletişimde derhal BT veya güvenlik ekibiyle iletişim kurulmalıdır.
- Oturum açma isteklerini onamadan önce, hangi uygulamanın erişim istediğini, hangi hesap için olduğunu ve işlemi gerçekten başlattığınızın doğrulanması gerekir. Gerçek bir Microsoft sayfası, bu tür istekleri otomatik olarak güvenli hale getirmez.
- Gerektiğinde cihaz kodu akışını kısıtlamak veya engellemek için Koşullu Erişim ilkelerinin uygulanması önerilir; ayrıca belirli kullanıcılar, cihazlar veya konumlar için sınırlamalar getirilebilir.
- Olağan dışı cihaz kodu talepleri, tanıdık olmayan altyapılar veya riskli oturum açma hareketleri gibi uyarımlara dikkat edilmelidir; bu göstergeler güvenlik ihlaline işaret edebilir.
- Çalışanlar güvenlik farkındalığı eğitimleriyle modern kimlik avı tekniklerini güncel tutmalı; bazı saldırılar, kurbanlardan gerçek bir sayfada gerçek bir kod girmelerini isteyebilir ancak bu kod yanlış cihaz için olabilir.
- Beklenmedik cihaz kodu taleplerinde, çalışanlar derhal BT veya güvenlik ekiplerini bilgilendirmeli; ekipler oturum günlüklerini inceleyip oturumları iptal edebilir, jetonları geçersiz kılabilir ve güvenlik ihlali durumunda hesapı geçici olarak devre dışı bırakabilir.
