Yeni nesil kimlik avı saldırılarında kullanılan EvilTokens adlı yöntem, kullanıcıların parola girmesine gerek kalmadan hesapların ele geçirilmesine olanak tanıyor. Microsoft 365 hesaplarını hedef alan bu saldırılarda, kullanıcılar sahte giriş sayfalarına yönlendirilmek yerine gerçek Microsoft kimlik doğrulama ekranlarında işlem yapmaya ikna ediliyor. Böylece saldırganlar, kullanıcıların farkında olmadan kendi oturumlarını yetkilendirmesini sağlayabiliyor.
ESET’in incelemesine göre saldırılar genellikle fatura, belge paylaşımı veya toplantı daveti gibi görünen e-postalarla başlıyor. Kullanıcılar kendilerine gösterilen cihaz kodunu Microsoft’un gerçek giriş sayfasına girerek doğrulama sürecini tamamladığında, erişim belirteçleri saldırganların oturumuna aktarılabiliyor. Bu yöntemle e-posta hesapları, dosyalar ve kurumsal uygulamalara erişim sağlanarak veri sızıntıları ve kurumsal dolandırıcılık girişimleri gerçekleştirilebiliyor.
Uzmanlar, beklenmedik cihaz kodu taleplerine karşı dikkatli olunması, kimlik doğrulama isteklerinin kaynağının kontrol edilmesi ve kuruluşlarda cihaz kodu akışlarının gerekli durumlarla sınırlandırılması gerektiğini belirtiyor. Ayrıca olağan dışı oturum açma hareketlerinin izlenmesi ve çalışanların güncel kimlik avı yöntemleri konusunda düzenli olarak bilgilendirilmesi öneriliyor.
