Siber güvenlik dünyasında yeni bir tehdit olarak yükselen EvilTokens, geleneksel kimlik avı yöntemlerini geride bırakarak Microsoft 365 hesaplarını hedef alıyor. Bu gelişmiş saldırı kiti, kullanıcıların parolalarını çalmadan veya sahte giriş sayfaları oluşturmadan hesaplara sızma yeteneğiyle dikkat çekiyor. Siber güvenlik alanının önde gelen şirketlerinden ESET, EvilTokens'ın işleyişini ve bu saldırılardan korunma yollarını detaylı bir şekilde inceledi.

EvilTokens, özellikle Microsoft 365 hesaplarını ele geçirmek üzere tasarlanmış bir kimlik avı hizmet kiti olarak öne çıkıyor. Geleneksel kimlik avı saldırılarının aksine, bu kit cihaz kodu kimlik avı prensibine dayanıyor. Bu sayede saldırganlar, kurbanların parolalarını girecekleri ikna edici sahte oturum açma sayfalarına ihtiyaç duymuyorlar. Bunun yerine, kurbanları doğrudan Microsoft'un gerçek oturum açma sayfasında, iki faktörlü kimlik doğrulama (2FA) dahil olmak üzere meşru bir kimlik doğrulama sürecini tamamlamaya yönlendiriyorlar.

Bu yeni nesil araç seti, siber suçlular tarafından hızla benimsenmiş durumda. ESET'in tespitlerine göre, 2026 yılının Mart ayında çeşitli ülkelerdeki 340'tan fazla kuruluşu hedef alan büyük bir kampanya da dahil olmak üzere, birçok hesap ele geçirme ve kurumsal e-posta dolandırıcılığı (BEC) saldırısında EvilTokens kullanıldı. Bu durum, tehdidin ne denli yaygınlaştığını ve kuruluşlar için ciddi bir risk oluşturduğunu gözler önüne seriyor.

EvilTokens saldırıları, bir 'keşif' aşamasıyla başlıyor. Kötü niyetli kişiler, hedeflenen hesabın aktif olup olmadığını doğrulamak için genellikle gerçek kimlik avı girişiminden 10 ila 15 gün önce bu aşamayı gerçekleştiriyor. Ardından, mağdura fatura, paylaşılan belge veya takvim daveti gibi görünen bir e-posta veya mesaj gönderiliyor. Bu yem, 'Görüntülemek için doğrulayın' gibi basit ifadelerle güvenilir bir markayı taklit eden bir tuzak sayfasıyla birleştiriliyor.

Kurban bağlantıya tıkladığında, sayfa Microsoft'tan bir kod istiyor. Bu kodun yalnızca 15 dakika geçerli olması, saldırının zamanlamasının kritik önem taşıdığını gösteriyor. Sayfa, kurbana kodu gösteriyor ve onu Microsoft'un gerçek microsoft.com/devicelogin oturum açma portalına yönlendiriyor. Ancak buradaki kritik nokta, kodun saldırganın oturumuna ait olması. Böylece kurban, farkında olmadan kendi cihazını değil, saldırganın cihazını yetkilendirmiş oluyor.

Geçerli bir oturum açma bilgisi algılandığında Microsoft, saldırgan tarafından açılan oturuma erişim ve yenileme jetonları veriyor. Sisteme sızan suçlular, kurumsal e-postalara, dosyalara, Teams'e, SharePoint'e, OneDrive'a ve diğer Microsoft 365 kaynaklarına erişebiliyor. Bu erişimle veri sızdırabilir veya BEC saldırıları hazırlayabilirler. Özellikle finans, İK, lojistik ve satış hesapları, saldırganların büyük ilgisini çekiyor.

EvilTokens'tan korunmak için ESET, önemli ipuçları paylaşıyor. Kimlik doğrulama kodu için gelen beklenmedik talepleri her zaman şüpheli olarak değerlendirmek gerekiyor. Hiçbir belge, fatura veya platform, açık bir neden olmaksızın cihaz kodunuzu istememeli. Talep aniden gelirse, işvereninizin BT veya güvenlik ekibine bildirilmesi hayati önem taşıyor. Ayrıca, herhangi bir oturum açma isteğini onaylamadan önce, erişim isteyen uygulamanın hangisi olduğunu, hangi hesabın söz konusu olduğunu ve bu işlemi gerçekten sizin başlatıp başlatmadığınızı kontrol etmek büyük önem taşıyor. Kuruluşlar için ise, gerekli olmadığı durumlarda cihaz kodu akışını kısıtlamak ve Koşullu Erişim ilkeleri uygulamak, bu tür saldırılara karşı güçlü bir savunma mekanizması oluşturabilir.