Narzędzie opisane przez ESET działa w modelu phishing-as-a-service, więc przestępcy mogą je kupić i uruchomić bez większego zaplecza technicznego. EvilTokens promowano przez Telegram, a w atakach używano go co najmniej od lutego 2026 r. Microsoft opisał też odmianę tego działania wspieraną przez AI, która miała dynamicznie tworzyć kody urządzeń i lepiej dopasowywać przynęty do odbiorców.
Atak nie opiera się na klasycznej podrobionej stronie logowania. To właśnie odróżnia go od wielu wcześniejszych kampanii. Cyberprzestępca może uzyskać dostęp do firmowego konta bez kradzieży hasła i bez podszywania się pod portal Microsoftu, bo użytkownik sam zatwierdza sesję uruchomioną przez napastnika.
Jak działa atak na Microsoft 365
Z opisu ESET wynika, że sprawcy najpierw sprawdzają, czy konto ofiary jest aktywne. Microsoft obserwował takie rozpoznanie nawet na 10-15 dni przed właściwą próbą włamania. Później do użytkownika trafia wiadomość podszywająca się pod fakturę, współdzielony dokument, zaproszenie do kalendarza albo prośbę o dostęp do SharePointa.
Czy TCL 75C7L to nowy lider na rynku telewizorów Mini LED dla graczy i nie tylko?
Po kliknięciu odbiorca widzi krótki komunikat i dostaje kod urządzenia. Następnie trafia na prawdziwy adres logowania Microsoftu: microsoft.com/devicelogin. Problem polega na tym, że wyświetlony kod nie służy jego własnej sesji, tylko sesji przygotowanej przez napastnika. Gdy ofiara wpisze ten kod, w praktyce potwierdza cudze logowanie.
W ten sposób przestępca może wejść do firmowej poczty, plików, komunikatora Teams i dysku w chmurze. Taki dostęp otwiera drogę nie tylko do kradzieży danych, ale też do przygotowania ataku BEC, czyli oszustwa wykorzystującego przejętą skrzynkę mailową firmy.
Dlaczego 2FA nie wystarcza
Kamil Sadkowski, analityk cyberbezpieczeństwa ESET, ocenił, że ten schemat usuwa sygnały ostrzegawcze, na które użytkownicy byli uczeni zwracać uwagę. – Nie ma podejrzanej domeny z literówką ani podrobionego formularza, bo strona logowania jest prawdziwa. Z perspektywy ofiary całe uwierzytelnianie wygląda dokładnie tak, jak powinno. Ten atak podważa też poczucie bezpieczeństwa, jakie daje uwierzytelnianie dwuskładnikowe – komentuje Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.
– Ta druga warstwa ochrony jest dziś ważniejsza niż kiedykolwiek, ale nie zadziała, gdy ofiara własnoręcznie zatwierdzi niewłaściwą sesję. Tu przestępcy nie łamią 2FA żadną techniczną sztuczką, tylko nakłaniają ofiarę, żeby przeszła ten etap za nich – dodaje analityk.
Zdaniem eksperta w takim przypadku najważniejszy staje się kontekst żądania. Sama obecność prawdziwej strony Microsoftu nie oznacza jeszcze, że prośba jest bezpieczna. ESET zaleca, by przed akceptacją sprawdzić, jaka aplikacja prosi o dostęp i którego konta dotyczy komunikat. Każdą niespodziewaną prośbę o wpisanie kodu urządzenia warto potraktować jako podejrzaną i zgłosić ją działowi IT lub bezpieczeństwa.
Co mogą zrobić organizacje
Według ESET dotychczasowe rady, takie jak sprawdzanie adresu strony czy wyszukiwanie literówek, nadal mają znaczenie, ale nie wystarczą przy atakach wykorzystujących prawdziwe mechanizmy logowania. Po stronie firm ważne jest ograniczenie logowania kodem urządzenia tam, gdzie nie jest potrzebne.