Uwierzytelnianie dwuskładnikowe od lat jest uznawane za jeden z najskuteczniejszych sposobów ochrony kont. Najnowsze kampanie phishingowe pokazują jednak, iż choćby ta warstwa zabezpieczeń może okazać się niewystarczająca, jeżeli użytkownik zostanie nakłoniony do autoryzowania sesji cyberprzestępcy.
Analitycy ESET ostrzegają przed narzędziem EvilTokens, które działa w modelu phishing-as-a-service. Oznacza to, iż gotowy zestaw do przeprowadzania ataków mogą kupić i wykorzystać także osoby bez zaawansowanej wiedzy technicznej. Narzędzie pojawiło się na kanałach Telegrama na początku 2026 roku i w krótkim czasie zostało wykorzystane w kampanii wymierzonej w ponad 340 organizacji w kilku krajach. Microsoft opisał również wariant tego ataku wspierany przez AI, w którym automatycznie generowane były kody urządzeń i spersonalizowane wiadomości zwiększające skuteczność phishingu.
Atak wykorzystuje legalny mechanizm logowania Microsoft 365. Ofiara otrzymuje wiadomość przypominającą zaproszenie do dokumentu, fakturę lub prośbę o dostęp do zasobów SharePoint. Po kliknięciu zostaje przekierowana na prawdziwą stronę Microsoftu pod adresem microsoft.com/devicelogin i proszona o wpisanie kodu urządzenia. Problem polega na tym, iż kod został wcześniej wygenerowany przez napastnika i jest powiązany z jego sesją. Gdy użytkownik przejdzie proces logowania i potwierdzi uwierzytelnienie dwuskładnikowe, nieświadomie autoryzuje dostęp do swojego konta osobie atakującej.
„EvilTokens eliminuje sygnały ostrzegawcze, których uczyliśmy się latami. Nie ma podejrzanej domeny z literówką ani podrobionego formularza, bo strona logowania jest prawdziwa. Z perspektywy ofiary całe uwierzytelnianie wygląda dokładnie tak, jak powinno. Ten atak podważa też poczucie bezpieczeństwa, jakie daje uwierzytelnianie dwuskładnikowe. Ta druga warstwa ochrony jest dziś ważniejsza niż kiedykolwiek, ale nie zadziała, gdy ofiara własnoręcznie zatwierdzi niewłaściwą sesję. Tu przestępcy nie łamią 2FA żadną techniczną sztuczką, tylko nakłaniają ofiarę, żeby przeszła ten etap za nich” – komentuje Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.
Po przejęciu sesji cyberprzestępcy mogą uzyskać dostęp do poczty Outlook, plików w OneDrive, komunikatora Teams czy zasobów SharePoint. To z kolei otwiera drogę do kradzieży danych lub ataków typu Business Email Compromise, polegających na wykorzystaniu przejętej firmowej skrzynki do dalszych oszustw.
Eksperci podkreślają, iż organizacje powinny ograniczyć możliwość logowania z wykorzystaniem kodów urządzeń tam, gdzie nie jest ona niezbędna, monitorować nietypowe logowania oraz zwracać większą uwagę na kontekst każdej prośby o autoryzację.
„Kluczowy w tym przypadku staje się kontekst. Zanim zatwierdzimy jakiekolwiek logowanie, warto sprawdzić, która aplikacja prosi o dostęp i jakiego konta ta prośba dotyczy. Odesłanie do prawdziwej strony Microsoftu nie przesądza jeszcze o tym, iż żądanie jest bezpieczne. Dlatego każdą niespodziewaną prośbę o wprowadzenie kodu urządzenia należy traktować jako podejrzaną i zgłosić ją działowi IT lub bezpieczeństwa” – mówi Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.

2 godzin temu












