EvilTokens kit
A Sekoia elemzése az EvilTokens phishing keretrendszert egy új generációs, gyorsan terjedő Phishing-as-a-Service (PhaaS) platformként írja le, amely a Microsoft device code autentikációs folyamatát használja ki. A támadók nem hamis bejelentkezési oldalakkal dolgoznak, hanem a felhasználót ráveszik arra, hogy egy legitim Microsoft oldalon adjon meg egy támadók által generált kódot, így a támadás teljes mértékben legitim környezetben zajlik.
Az EvilTokens ezt a technikát iparosított formában kínálja, egy kész, turnkey platformot biztosít, amely lehetővé teszi, hogy akár alacsony technikai tudással rendelkező szereplők is komplex phishing kampányokat indítsanak. Ez jól illeszkedik a PhaaS ökoszisztéma általános trendjébe, ahol a szolgáltatók nemcsak az eszközt, hanem infrastruktúrát, sablonokat és automatizációt is biztosítanak az előfizető támadók számára.
A támadók hitelesnek tűnő üzeneteket, így Microsoft, DocuSign vagy Adobe értesítéseket küldenek, amelyek arra kérik a felhasználót, hogy egy megadott kódot írjon be a hivatalos bejelentkezési felületen. Mivel a folyamat valódi Microsoft oldalon történik, a felhasználó nem érzékel klasszikus phishing jeleket. Ennek eredményeként a támadó access és refresh tokeneket szerez, amelyekkel tartós hozzáférést kap a fiókhoz, és megkerülheti a többfaktoros hitelesítést is.
Az EvilTokens különösen veszélyes aspektusa az automatizáció és a skálázhatóság. A platform képes a célpontok azonosítására, a kampányok lebonyolítására, valamint a kompromittált fiókok további kihasználására, például Business Email Compromise (BEC) csalások végrehajtására. Ez a működés jelentősen csökkenti a támadások költségét és növeli a volumenét, ami a fenyegetés gyors globális terjedéséhez vezet.
A támadás nem a hitelesítő adatok ellopására épít, hanem token-alapú hozzáférés megszerzésére, ami a modern identitásalapú rendszerek egyik legkritikusabb gyenge pontja. Ez a megközelítés megkerüli a hagyományos védelmi mechanizmusokat, beleértve az MFA-t és a phishing detekciós megoldások egy részét is.
