Device code-phishing kringgår MFA — 340+ M365-organisationer drabbade

Name: Haggeburger
Address: SE
Price range: $$

March 31, 2026

EvilTokens-plattformen stjäl M365-tokens som överlever lösenordsbyten. Så blockerar du attacken i Conditional Access.

Sedan februari 2026 har en phishingkampanj träffat över 340 Microsoft 365-organisationer i fem länder. Kampanjen använder en PhaaS-plattform kallad EvilTokens och utnyttjar OAuth device code-flödet för att stjäla refresh tokens. Det värsta? MFA hjälper inte. Offret genomför MFA-verifieringen själv, åt angriparen.

Huntress rapporterade den 23 mars att de blockerat 113 försök utöver de ~350 bekräftade komprometteringarna. Infrastrukturen körs på Railway.com, en PaaS-plattform som gör det enkelt att snurra upp phishing-servrar.

Hur attacken fungerar

Angriparen skickar ett meddelande — ofta via Teams eller e-post — som ber offret att "verifiera sitt konto" genom att ange en kod på microsoft.com/devicelogin. Offret loggar in, genomför MFA, och tror att allt är normalt. Men koden tillhör angriparens session. Resultatet: angriparen får en refresh token som ger full åtkomst till M365-miljön.

Refresh tokens överlever lösenordsbyten. Att byta lösenord stoppar inte angriparen.

Vad du bör göra idag

Tre saker, i prioritetsordning:

1. Blockera device code-flödet. I Entra ID → Conditional Access → skapa en policy med villkoret "Authentication flows" → blockera "Device code flow". De flesta SMF-organisationer använder inte det här flödet och märker ingen skillnad.

2. Blockera Railways IP-intervall. Lägg till 162.220.232.0/22 och 162.220.234.0/22 som blockerade named locations i Conditional Access. Om du ser lyckade inloggningar från dessa IP-adresser — det är en bekräftad kompromering.

3. Aktivera Continuous Access Evaluation (CAE). CAE minskar tiden för tokenåterkallelse från ungefär en timme till minuter. Det gör skillnad vid incidentrespons.

Om du redan har drabbats: återkalla alla refresh tokens för berörda användare omedelbart via Entra ID-portalen.

Så kan vi hjälpa

Vi erbjuder en "OAuth-säkerhetskontroll" — en 2-timmars genomgång där vi blockerar device code-flödet, konfigurerar CAE, söker igenom inloggningsloggar efter komprometeringsindikatorer och granskar OAuth-appsamtycken i er tenant.

Vill du att vi kollar er miljö? Kontakta oss.

Referenser: Huntress — Railway PaaS M365 Token Campaign, The Hacker News — Device Code Phishing