EvilTokens olakšava device code phishing napade na Microsoft naloge
Novi zlonamerni servis EvilTokens dodaje podršku za device code phishing napade koji omogućavaju preuzimanje Microsoft naloga i otvaraju prostor za business email compromise prevare. Napadači kroz lažne poslovne poruke i phishing stranice navode žrtvu da unese kod na legitimnoj Microsoft stranici za prijavu uređaja, čime dobijaju pristupne i refresh tokene. Prema istraživanju kompanije Sekoia, kampanje imaju globalni domet, a kit se prodaje preko Telegrama i razvija se dalje.
Ovde je problem u tome što napad ne zavisi od lažne Microsoft stranice, već od zloupotrebe legitimnog OAuth toka za autorizaciju uređaja. Kada korisnik sam potvrdi pristup, napadač može dobiti stvaran pristup mejlu, fajlovima, Teams podacima i drugim Microsoft servisima bez klasične krađe lozinke.
- Obučiti korisnike da ne unose device code na Microsoft stranicama osim kada su sami pokrenuli prijavu
- Posebno nadzirati phishing poruke sa QR kodovima i lažnim poslovnim dokumentima
- Ograničiti ili nadzirati device code OAuth tok tamo gde nije poslovno potreban
- Pratiti izdavanje i zloupotrebu refresh tokena i neuobičajene prijave kroz Microsoft okruženje
- Primijeniti IoC i pravila detekcije iz tehničke analize istraživača gde je to moguće