Admin
Администратор
В феврале 2026 года платформа фишинга как услуги EvilTokens начала свою деятельность, скомпрометировав более 340 организаций, использующих Microsoft 365.
Атака успешно обходит многофакторную аутентификацию, используя уязвимости в механизме согласия OAuth.
Платформа EvilTokens использует фишинговые сообщения, предлагающие пользователям ввести короткий код на сайте microsoft.com/devicelogin. После завершения стандартной процедуры MFA пользователи передают злоумышленникам действительный токен обновления, который остается активным в течение длительного времени. Этот токен позволяет злоумышленникам получать доступ к почте, диску, календарю и контактам без необходимости ввода пароля или повторного прохождения MFA. Угроза заключается в том, что механизм согласия OAuth стал привычным для пользователей, а существующие системы безопасности не контролируют этот уровень. Исследователи называют это фишингом согласия или злоупотреблением OAuth. Токены, полученные таким образом, могут оставаться активными неделями или месяцами, даже после смены пароля. Для предотвращения таких атак необходимо усилить контроль над OAuth-приложениями и токенами, а также внедрить политики повторного согласия.
