Еволюция на фишинга: от кражба на пароли към кражба на токени

Нова зловредна платформа, наречена EvilTokens, въвежда усъвършенстван подход към фишинг атаките, като използва техниката device code phishing за компрометиране на Microsoft акаунти.

Инструментът се разпространява в киберпрестъпни среди чрез Telegram и се предлага като услуга (PhaaS – phishing-as-a-service), като разработчикът му планира разширяване към Gmail и Okta.

Вместо да краде пароли, EvilTokens придобива директен достъп чрез OAuth токени, което прави атаките по-трудни за засичане и блокиране.

Как работи атаката

Техниката използва OAuth 2.0 device authorization flow, легитимен механизъм, предназначен за устройства с ограничен интерфейс.

Стъпки на атаката:

1. Жертвата получава имейл с прикачен файл или линк (PDF, DOCX, XLSX, HTML, SVG), съдържащ QR код или URL.
2. Съдържанието имитира реални бизнес документи – фактури, покани за срещи, договори или документи от DocuSign/SharePoint.
3. Жертвата отваря линка и попада на фалшива страница (например Adobe или DocuSign).
4. Показва се код за „верификация“ и бутон „Continue to Microsoft“.
5. Потребителят се пренасочва към реалната Microsoft страница и въвежда кода.

В този момент жертвата сама предоставя достъп на атакуващия, който вече е инициирал заявката за device code чрез легитимен клиент.

Какво получават атакуващите

След успешна атака, злонамереният оператор получава:

• Access token (краткосрочен достъп)
• Refresh token (дългосрочен достъп)

Това позволява:

• достъп до имейли
• файлове и документи
• Microsoft Teams комуникация
• Single Sign-On (SSO) импърсонация

Достъпът може да бъде устойчив във времето, дори без знанието на потребителя.

Индустриализация на атаките и глобален обхват

Изследователи от Sekoia установяват, че EvilTokens вече се използва в мащабни кампании по целия свят.

Най-засегнати държави:

• САЩ
• Канада
• Франция
• Австралия
• Индия
• Швейцария
• ОАЕ

Платформата предлага готови фишинг шаблони, насочени към служители във:

• финанси
• човешки ресурси
• логистика
• продажби

Връзка с BEC атаките

EvilTokens интегрира функции за автоматизация, които улесняват Business Email Compromise (BEC) атаки – един от най-скъпите видове киберизмами.

Комбинацията от валиден достъп и автоматизация позволява:

• изпращане на легитимно изглеждащи имейли
• пренасочване на плащания
• вътрешна измама в организации

Това размива границата между класически фишинг и целенасочени корпоративни атаки.

Защо този модел е особено опасен

EvilTokens демонстрира нова тенденция в киберзаплахите:

• използване на легитимни механизми (OAuth) вместо експлойти
• избягване на традиционни защити като MFA
• минимална нужда от технически умения чрез PhaaS модел

Това е пример за „социално-инженерен OAuth компромис“, при който потребителят сам става слабата точка в защитата.

Препоръки за защита

Организациите трябва да адаптират защитите си към този нов тип атаки:

Технически мерки

• Ограничаване или мониторинг на device code flow
• Засилен контрол върху OAuth приложения
• Анализ на токени и подозрителни сесии

Организационни мерки

• Обучение на служителите за новите фишинг техники
• Верификация на неочаквани заявки за удостоверяване
• Мониторинг за необичайна активност в акаунти