EvilTokens: Parolanızı çalmayan bir kimlik avı saldırısı 

Microsoft’un meşru kimlik doğrulama akışını altüst eden bir kimlik avı olan EvilTokens, saldırganların parolaları çalmadan veya sahte giriş sayfaları oluşturmadan hesaplara sızmasına olanak tanıyor

Büyük ölçüde yapay zekâ sayesinde, dil bilgisi hatalarıyla dolu ve kaba tasarımlı kimlik avı e-postalarının günlerinin sayılı olduğu konusunda pek çok şey yazıldı. Öte yandan, EvilTokens, kimlik avı tekniğinin ne kadar ilerlediğine dair biraz farklı bir örnek sunuyor. 

EvilTokens, OAuth 2.0 cihaz yetkilendirme akışını kötüye kullanarak Microsoft 365 hesaplarını ele geçirmek üzere geliştirilmiş bir kimlik avı hizmeti (PhaaS) kiti. Bu kiti kullanan saldırılar, cihaz kodu kimlik avına dayandığından, kurbanların parolalarını girecekleri gerçek oturum açma sayfalarının ikna edici kopyalarına ihtiyaç duymazlar. Bunun yerine saldırganlar, kurbanı gerçek bir Microsoft oturum açma sayfasında iki faktörlü kimlik doğrulama (2FA) dâhil olmak üzere meşru bir kimlik doğrulama sürecini tamamlamaya yönlendirir. 

Bu araç seti, Telegram kanalları aracılığıyla tanıtılmış ve en azından Şubat 2026’dan beri aktif saldırılarda tespit edilmiştir. Sekoia ve diğerleri tarafından belgelendiği üzere, bu araç seti siber suçlular tarafından hızla benimsenmiş. Ayrıca Mart 2026’da çeşitli ülkelerdeki 340’tan fazla kuruluşu hedef alan bir kampanya da dâhil olmak üzere, bir dizi hesap ele geçirme ve kurumsal e-posta dolandırıcılığı (BEC) saldırısında kullanılmıştır. Microsoft da EvilTokens saldırılarının başarı oranını artırmak için dinamik cihaz kodu oluşturma ve hedefli tuzaklar kullanan, yapay zekâ destekli bir cihaz kodu kimlik avı kampanyasından bahsetmiştir. 

EvilTokens’ın iç işleyişi

EvilTokens’ı kullanan saldırıların nasıl gerçekleştiğine dair kısa bir genel bakış:

• Saldırının öncesinde, kötü niyetli kişilerin önce hedef hesabın aktif olup olmadığını doğruladığı bir “keşif” aşaması yer alır. Microsoft, bu keşif aşamasının gerçek kimlik avı girişiminden 10 ila 15 gün önce gerçekleştirildiğini gözlemlemiştir.
• Mağdur, genellikle fatura, paylaşılan belge, takvim daveti veya SharePoint erişim isteği gibi görünen bir e-posta veya mesaj alır. Yem, güvenilir bir markayı taklit eden bir tuzak sayfası ile birlikte “Görüntülemek için doğrulayın” veya “İmza gereklidir” gibi basit ifadelerden oluşur. 
• Kurban bağlantıya tıkladığında, sayfa Microsoft’tan bir kod ister. Kod yalnızca 15 dakika boyunca geçerlidir; bu nedenle burada zaman ve zamanlama hayati önem taşır.
• Sayfa, kurbana kodu gösterir ve onu Microsoft’un gerçek microsoft.com/devicelogin oturum açma portalına yönlendirir. İşin püf noktası, kodun saldırganının oturumuna ait olmasıdır; bu nedenle kurban, farkında olmadan kendi cihazını değil, saldırganın cihazını yetkilendirir.
• Geçerli bir oturum açma bilgisi algıladığında Microsoft, saldırgan tarafından açılan oturuma erişim ve yenileme jetonları verir. Sisteme girdikten sonra suçlular, kurumsal e-postalara, dosyalara, Teams’e, SharePoint’e, OneDrive’a ve diğer Microsoft 365 kaynaklarına erişebilir ve verileri sızdırabilir ya da BEC saldırıları hazırlayabilir. Bu nedenle finans, İK, lojistik ve satış hesapları saldırganların büyük ilgisini çekmektedir. 

EvilTokens neden tehlikeli?

OAuth cihaz kodu akışı, akıllı TV’ler veya yazıcılar gibi doğrudan oturum açmanın zor olabileceği cihazlar için tasarlanmıştır. Cihaz, kullanıcının başka bir cihazdaki Microsoft sayfasına girip kimlik doğrulamayı tamamladığı kısa bir kod görüntüler. Ardından Microsoft, erişim talebinde bulunan cihaza erişim jetonları verir.

Bu ayrım yararlıdır ancak kötüye kullanıma da olanak tanır. Saldırganlar kodu oluşturabilir ve kurbanı bu kodu girmeye ikna edebilir; tüm bu süreç boyunca Microsoft ise yalnızca geçerli bir kimlik doğrulama akışı görür. Şirket, oturum açma anında ekrandaki bir metinle kullanıcıları uyararak, güvenmedikleri kaynaklardan gelen kodları girmemelerini söyler. Ancak bazen ikna edici bir tuzak, kurbanın uyarıları görmezden gelmesine yetebilir.

Bu konuda EvilTokens, yazım hatalı alan adları ve sahte oturum açma sayfaları dâhil olmak üzere, insanların yıllar boyunca fark etmeleri öğretilen birçok uyarı işaretini ortadan kaldırır. Oturum açma sayfası gerçektir ve kurbanın bakış açısından tüm kimlik doğrulama süreci beklendiği gibi çalışıyor gibi görünebilir. 

Saldırı, 2FA tarafından sağlanan güvenlik önlemleri söz konusu olduğunda da “suyu bulanıklaştırır”. İkinci kimlik doğrulama katmanı hiç bu kadar önemli olmamıştı ancak kurban yanlış oturumu onayladığında bu önlem yetersiz kalır. Bu saldırılarda saldırganlar, herhangi bir teknik hileyle 2FA’yı alt etmezler; aksine, kurbanı kandırarak 2FA’yı kendileri adına tamamlamasını sağlarlar. 

Riski nasıl azaltabilirsiniz?

Kimlik avı koruması için ipuçları, “bağlantıyı kontrol et” ile sınırlı kalmamalı, “yazım hatalarını ara” gibi tavsiyelerden ise hiç bahsetmeye gerek bile yok. Elbette bu alışkanlıklar hâlâ faydalıdır ancak gerçek kimlik doğrulama akışlarını kötüye kullanan modern saldırılara karşı yeterli değildir. 

EvilTokens ’tan korunmak için birkaç ipucu

• Kimlik doğrulama kodu için gelen beklenmedik talepleri şüpheli olarak değerlendirin. Hiçbir belge, fatura, e-posta veya başka bir platform, açık bir neden olmaksızın cihaz kodunuzu istememelidir. Talep aniden gelirse bunu işvereninizin BT veya güvenlik ekibine bildirin.
• Bağlam, sayfadan daha önemlidir. Herhangi bir oturum açma isteğini onaylamadan önce, erişim isteyen uygulamanın hangisi olduğunu, hangi hesabın söz konusu olduğunu ve bu işlemi gerçekten sizin başlatıp başlatmadığınızı kontrol edin. Gerçek bir Microsoft sayfası, bir isteği otomatik olarak güvenli hâle getirmez.
• Kuruluşlar, gerekli olmadığı durumlarda cihaz kodu akışını tamamen kısıtlamalıdır. Microsoft, gerekli olmadığı durumlarda cihaz kodu akışını engellemek ve bunu belirli kullanıcılar, cihazlar, konumlar veya işletim sistemleriyle sınırlandırmak için Koşullu Erişim ilkelerinin uygulanmasını önerir.
• Olağan dışı cihaz kodu kimlik doğrulamalarına, tanıdık olmayan altyapılara, riskli oturum açma işlemlerine, şüpheli belirteç kullanımına ve yeni gelen kutusu kurallarına dikkat edin; bunların herhangi biri bir soruna işaret edebilir. 
• Güvenlik farkındalığı eğitimleri, saldırganların kullandığı en yeni hilelere ayak uydurmalıdır. Çalışanlar, modern kimlik avı saldırılarının her zaman sahte bir sayfaya parola girilmesini gerektirmediğini anlamalıdır. Bazen saldırgan, çalışanlardan gerçek bir sayfada gerçek bir kodu girmelerini isteyebilir ancak bu kod yanlış cihaz içindir.
• Beklenmedik bir cihaz kodu talebi alan çalışanlar, şirketlerinin BT veya güvenlik ekiplerini bilgilendirmelidir; bu ekipler oturum açma günlüklerini incelemek, oturumları iptal etmek, yenileme belirteçlerini geçersiz kılmak, kötü amaçlı gelen kutusu kurallarını kaldırmak ve güvenliği ihlal edilmiş hesabı geçici olarak devre dışı bırakmak zorunda kalabilir.

EvilTokens, saldırganların her zaman ön kapıyı kırmaya veya anahtarını çalmaya gerek duymadıklarını hatırlatıyor. Bazen tek yapmaları gereken, birini kapıyı açmaya ikna etmektir.