EvilTokens-huijauspalvelu kompromittoi helmikuusta 2026 lähtien yli 340 Microsoft 365 -organisaatiota viidessä maassa ohittamalla MFA:n OAuth-suostumuksilla.
Helmikuussa 2026 käynnistynyt EvilTokens-niminen phishing-as-a-service (PhaaS) -alusta on osoittautunut erityisen tehokkaaksi uhaksi organisaatioille. Viiden viikon aikana palvelu onnistui kompromittoimaan yli 340 Microsoft 365 -organisaatiota viidessä eri maassa käyttämällä kehittynyttä OAuth-suostumushyökkäystä.
Hyökkäyksen toimintamalli perustuu uhrien harhauttamiseen pyytämään heitä syöttämään lyhyt koodi osoitteeseen microsoft.com/devicelogin ja suorittamaan tavanomainen kaksivaiheinen tunnistautuminen. Uhrit luulevat todentaneensa jonkin laillisen palvelun, mutta todellisuudessa he myöntävät OAuth-lupoja haitalliselle sovellukselle, joka saa näin pääsyn heidän Microsoft 365 -tileihinsä.
OAuth-suostumushyökkäykset ovat erityisen vaarallisia, koska ne ohittavat täysin perinteiset kaksivaiheisen tunnistautumisen suojaukset. Kun uhri myöntää luvan haitalliselle sovellukselle, hyökkääjä saa pysyvän pääsyn tiliin ilman tarvetta murtaa salasanoja tai ohittaa MFA-haasteita jatkossa.
IT-ammattilaiset voivat suojautua näiltä hyökkäyksiltä tarkkailemalla organisaation OAuth-sovelluksia ja niiden käyttöoikeuksia säännöllisesti. Käyttäjäkoulutus on myös kriittistä, sillä uhrit voivat tunnistaa epäilyttävät suostumuspyynnöt, jos he ymmärtävät OAuth-toimintamallin riskit Microsoft 365 -ympäristössä.
Tärkeimmät pointit
- EvilTokens PhaaS-palvelu kompromittoi yli 340 Microsoft 365 -organisaatiota helmikuusta 2026
- Hyökkäys käyttää OAuth-suostumusta ohittamaan kaksivaiheisen tunnistautumisen
- Uhrit ohjataan microsoft.com/devicelogin-sivulle syöttämään koodia
- Haitallinen sovellus saa pysyvän pääsyn tiliin ilman salasanojen murtamista
- Viisi maata ja yli 340 organisaatiota vaarannettuna viidessä viikossa
- OAuth-luvat mahdollistavat MFA:n täydellisen ohituksen
Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 19.5.2026
