详细内容或原文请订阅后点击阅览
EvilTokens:不会窃取您密码的网络钓鱼攻击
网络钓鱼工具包颠覆了 Microsoft 的合法身份验证流程,让攻击者无需窃取密码或创建虚假登录页面即可侵入帐户
来源:WeLiveSecurity _恶意软件EvilTokens:不会窃取您密码的网络钓鱼攻击
网络钓鱼工具包颠覆了 Microsoft 的合法身份验证流程,让攻击者无需窃取密码或创建虚假登录页面即可侵入帐户
2026 年 6 月 15 日•,5 分钟。阅读
关于充斥着错误语法和粗糙设计的网络钓鱼电子邮件的日子已经屈指可数了,这在很大程度上要归功于人工智能。与此同时,EvilTokens 提供了一个稍微不同的例子来说明网络钓鱼技术的发展程度。
EvilTokens 是一种网络钓鱼即服务 (PhaaS) 工具包,旨在通过滥用 OAuth 2.0 设备授权授予流程来危害 Microsoft 365 帐户。由于使用该工具包的攻击依赖于设备代码网络钓鱼,因此它们回避了对真实登录页面的令人信服的副本的需要,受害者将在其中交出密码。相反,攻击者让受害者在真实的 Microsoft 登录页面上完成合法的身份验证过程,包括双因素身份验证 (2FA)。
该工具包至少自 2026 年 2 月起就已通过 Telegram 渠道进行宣传,并在主动攻击中被发现。据 Sekoia 和其他人记录,该工具包似乎已迅速被网络犯罪分子采用,并部署在许多帐户接管和商业电子邮件泄露 (BEC) 攻击中,包括 2026 年 3 月针对多个国家/地区 340 多个组织的活动。微软本身也描述了一项支持人工智能的活动,该活动使用动态设备代码生成和定制诱饵来攻击提高 EvilTokens 攻击的成功率。
EvilTokens 的内部运作方式
以下是利用 EvilToken 的攻击如何展开的简要概述:
是什么让 EvilTokens 变得危险
如何降低风险
以下是一些避免 EvilToken 安全的提示: