EvilTokens kapar M365-konton — så skyddar du dig

En ny phishing-as-a-service-plattform kallad EvilTokens har slagit till mot över 340 organisationer världen över. Angriparna utnyttjar Microsofts OAuth device code-flöde för att kapa M365-konton — och MFA hjälper inte.

Vad har hänt?

EvilTokens säljs via Telegram och ger angripare ett komplett verktyg för att stjäla Microsoft 365-sessioner. Offret får ett mejl med en PDF eller HTML-fil som innehåller en QR-kod eller länk. Klickar man på den hamnar man på en sida som ser ut som Adobe Acrobat eller DocuSign.

Sidan visar en verifieringskod och uppmanar användaren att klicka "Continue to Microsoft". Det leder till Microsofts riktiga enhetsinloggning — men koden kopplar sessionen till angriparens app. Resultat: fullständig åtkomst till offrets mejl, OneDrive och Teams.

Över 1 000 domäner har bekräftats hosta EvilTokens-sidor. Kampanjen har träffat organisationer i USA, Kanada, Australien, Frankrike och Förenade Arabemiraten.

Varför det spelar roll för svenska SMF

Device code-phishing kringgår alla MFA-metoder — inklusive FIDO2 och passkeys. Det spelar ingen roll hur stark din MFA är om användaren själv godkänner anslutningen. Företag på M365 Business Premium utan Conditional Access-policyer som blockerar device code-flödet är helt öppna.

Vad du ska göra nu

1. Blockera device code-flödet i Conditional Access. Gå till Entra Admin Center → Conditional Access → Ny policy. Blockera "Device code flow" som grant control.

2. Granska sign-in-loggar. Sök efter inloggningar med authenticationProtocol = deviceCode från oväntade platser.

3. Aktivera Defender for Office 365 anti-phishing-policyer med impersonation-skydd.

4. Utbilda personalen. "Ange aldrig en verifieringskod från ett mejl du inte förväntat dig."

Hur vi kan hjälpa

Vi erbjuder en snabb Conditional Access-genomgång (1-2 timmar) där vi blockerar device code-flödet och granskar era sign-in-loggar. Vill du att vi kollar er miljö? Kontakta oss.