EvilTokens — ny phishing-attack kringgår MFA helt via device code
Ny PhaaS-plattform stjäl M365-tokens genom att lura användare att autentisera via Microsofts egen inloggningssida.
En ny phishing-plattform kallad EvilTokens har drabbat över 340 Microsoft 365-organisationer i fem länder sedan mitten av februari 2026. Attacken utnyttjar OAuth 2.0 device code-flödet — samma mekanism som används för att logga in på appar via smart-TV eller IoT-enheter.
Det som gör den här attacken farlig är att användaren autentiserar sig på Microsofts egen legitima inloggningssida. MFA fungerar som det ska — men angriparen får ändå en giltig sessionstoken.
Hur attacken fungerar
Angriparen skickar ett phishing-mejl med en verifieringskod och en länk till microsoft.com/devicelogin. Användaren tror att det är en legitim begäran, anger koden och loggar in med sitt vanliga MFA. I bakgrunden fångar EvilTokens både access-token och refresh-token.
Med dessa tokens får angriparen full tillgång till användarens e-post, Teams, OneDrive och SharePoint. Refresh-token ger dessutom långvarig åtkomst — även efter att användaren byter lösenord.
Vilka drabbas
De drabbade sektorerna inkluderar bygg, juridik, hälsovård, ideella organisationer, fastigheter och tillverkning — typiska svenska SMF-vertikaler.
Vad ni bör göra
-
Blockera device code-flödet i
Conditional Access. -
Granska Entra-inloggningsloggar efter autentiseringar med device code-flöde.
-
Begränsa OAuth-appkonsent.
-
Utbilda personalen: ange aldrig en verifieringskod du inte själv begärt.
Hur vi kan hjälpa
Vi erbjuder en OAuth-säkerhetsgenomgång (2 timmar) där vi kontrollerar device code-policyer, appkonsent-inställningar och granskar inloggningsloggar. Hör av er så kollar vi er miljö.