Masz Microsoft 365? Eksperci ostrzegają przed nowym atakiem

Analitycy ESET ostrzegają przed nową kampanią wymierzoną w konta Microsoft 365. Według firmy narzędzie EvilTokens pozwala przejąć dostęp nawet wtedy, gdy użytkownik loguje się na prawdziwej stronie Microsoftu i ma włączone uwierzytelnianie dwuskładnikowe. W marcu 2026 r. ten schemat wykorzystano przeciwko ponad 340 organizacjom w kilku krajach.

Dwuskładnikowe uwierzytelnianie może pomóc oszustom.Dwuskładnikowe uwierzytelnianie może pomóc oszustom.
Źródło zdjęć: © Getty Images | Oscar Wong
Aleksandra Dąbrowska

Narzędzie opisane przez ESET działa w modelu phishing-as-a-service, więc przestępcy mogą je kupić i uruchomić bez większego zaplecza technicznego. EvilTokens promowano przez Telegram, a w atakach używano go co najmniej od lutego 2026 r. Microsoft opisał też odmianę tego działania wspieraną przez AI, która miała dynamicznie tworzyć kody urządzeń i lepiej dopasowywać przynęty do odbiorców.

Atak nie opiera się na klasycznej podrobionej stronie logowania. To właśnie odróżnia go od wielu wcześniejszych kampanii. Cyberprzestępca może uzyskać dostęp do firmowego konta bez kradzieży hasła i bez podszywania się pod portal Microsoftu, bo użytkownik sam zatwierdza sesję uruchomioną przez napastnika.

Jak działa atak na Microsoft 365

Z opisu ESET wynika, że sprawcy najpierw sprawdzają, czy konto ofiary jest aktywne. Microsoft obserwował takie rozpoznanie nawet na 10-15 dni przed właściwą próbą włamania. Później do użytkownika trafia wiadomość podszywająca się pod fakturę, współdzielony dokument, zaproszenie do kalendarza albo prośbę o dostęp do SharePointa.

Czy TCL 75C7L to nowy lider na rynku telewizorów Mini LED dla graczy i nie tylko?

Po kliknięciu odbiorca widzi krótki komunikat i dostaje kod urządzenia. Następnie trafia na prawdziwy adres logowania Microsoftu: microsoft.com/devicelogin. Problem polega na tym, że wyświetlony kod nie służy jego własnej sesji, tylko sesji przygotowanej przez napastnika. Gdy ofiara wpisze ten kod, w praktyce potwierdza cudze logowanie.

W ten sposób przestępca może wejść do firmowej poczty, plików, komunikatora Teams i dysku w chmurze. Taki dostęp otwiera drogę nie tylko do kradzieży danych, ale też do przygotowania ataku BEC, czyli oszustwa wykorzystującego przejętą skrzynkę mailową firmy.

Dlaczego 2FA nie wystarcza

Kamil Sadkowski, analityk cyberbezpieczeństwa ESET, ocenił, że ten schemat usuwa sygnały ostrzegawcze, na które użytkownicy byli uczeni zwracać uwagę. – Nie ma podejrzanej domeny z literówką ani podrobionego formularza, bo strona logowania jest prawdziwa. Z perspektywy ofiary całe uwierzytelnianie wygląda dokładnie tak, jak powinno. Ten atak podważa też poczucie bezpieczeństwa, jakie daje uwierzytelnianie dwuskładnikowe – komentuje Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.

– Ta druga warstwa ochrony jest dziś ważniejsza niż kiedykolwiek, ale nie zadziała, gdy ofiara własnoręcznie zatwierdzi niewłaściwą sesję. Tu przestępcy nie łamią 2FA żadną techniczną sztuczką, tylko nakłaniają ofiarę, żeby przeszła ten etap za nich – dodaje analityk.

Zdaniem eksperta w takim przypadku najważniejszy staje się kontekst żądania. Sama obecność prawdziwej strony Microsoftu nie oznacza jeszcze, że prośba jest bezpieczna. ESET zaleca, by przed akceptacją sprawdzić, jaka aplikacja prosi o dostęp i którego konta dotyczy komunikat. Każdą niespodziewaną prośbę o wpisanie kodu urządzenia warto potraktować jako podejrzaną i zgłosić ją działowi IT lub bezpieczeństwa.

Co mogą zrobić organizacje

Według ESET dotychczasowe rady, takie jak sprawdzanie adresu strony czy wyszukiwanie literówek, nadal mają znaczenie, ale nie wystarczą przy atakach wykorzystujących prawdziwe mechanizmy logowania. Po stronie firm ważne jest ograniczenie logowania kodem urządzenia tam, gdzie nie jest potrzebne.

Wybrane dla Ciebie
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ