Włamują się na konta bez kradzieży hasła. Jak oni to wymyślili?
Oszuści internetowi znaleźli sposób na włamywanie się do kont Microsoft bez potrzeby kradzieży haseł i innych danych do logowania. To niebezpieczne narzędzie może dotknąć także Ciebie.

Twórcy programu antywirusowego ESET dostrzegli i opisali nową metodę, która pozwala na włamywanie się do kont Microsoft 365 bez potrzeby kradzieży haseł oraz tworzenia fałszywych stron logowania. Podczas logowania na prawdziwej stronie Microsoftu, nawet z włączonym uwierzytelnianiem dwuskładnikowym, ofiara zatwierdza nieautoryzowane logowanie.
Przejmują konta Microsoft 365, a nawet nie kradną haseł
W oszustwie wykorzystuje się narzędzia nazwane EvilTokens. Według obecnych informacji rozwiązanie jest stosowane od lutego 2026 r. W samym marcu posłużyło do zaatakowania ponad 340 organizacji w kilku krajach.
Zasada tej metody polega na tym, że cyberprzestępcy w pierwszej kolejności sprawdzają, czy konto ofiary jest aktywne na podstawie adresu e-mail. Robią takie rozpoznanie nawet z 10-15-dniowym wyprzedzeniem. Następnie na skrzynkę pocztową przychodzi wiadomość udająca fakturę, w której znajduje się załącznik z dokumentem, zaproszenie do kalendarza lub link do SharePointa z komunikatem sugerującym wykonanie określonego działania.
Po kliknięciu ofiara otrzymuje kod urządzenia i zostaje odesłana na prawdziwą stronę logowania Microsoftu. Kod jednak nie należy do użytkownika, a został wygenerowany przez oszusta. Wpisując widoczny kod, ofiara w rzeczywistości zatwierdza logowanie innej osoby, a nie własną sesję. Dzięki temu przestępca uzyskuje dostęp do poczty, plików, dysku w chmurze czy komunikatora Teams.
W głównej mierze atak dotyczy firmowych kont Microsoft, które mimo wszystko najczęściej przechowują bardziej wartościowe informacje i dane niż konta przeciętnych użytkowników.
EvilTokens eliminuje sygnały ostrzegawcze, których uczyliśmy się latami. Nie ma podejrzanej domeny z literówką ani podrobionego formularza, bo strona logowania jest prawdziwa. Z perspektywy ofiary całe uwierzytelnianie wygląda dokładnie tak, jak powinno. Ten atak podważa też poczucie bezpieczeństwa, jakie daje uwierzytelnianie dwuskładnikowe. Ta druga warstwa ochrony jest dziś ważniejsza niż kiedykolwiek, ale nie zadziała, gdy ofiara własnoręcznie zatwierdzi niewłaściwą sesję. Tu przestępcy nie łamią 2FA żadną techniczną sztuczką, tylko nakłaniają ofiarę, żeby przeszła ten etap za nich - komentuje Kamil Sadkowski, analityk cyberbezpieczeństwa ESET.
Weryfikacja dwuskładnikowa co do zasady zwiększa bezpieczeństwo kont, ale w tym przypadku stanowi miecz obosieczny. Zamiast podawać klasyczne hasło, ofiara może ograniczyć się wyłącznie do prostego kodu. Dlatego warto upewnić się przed zatwierdzeniem jakiegokolwiek logowania. Do każdej nietypowej prośby o potwierdzenie trzeba podchodzić z dystansem.
Czytaj też:
Redaktor działu nowe technologie w Spider's Web. Od najmłodszych lat fan elektroniki - komputerów, laptopów i smartfonów, z którą odkąd tylko mógł, spędzał masę czasu. Z czasem swoją pasję zamienił w pracę, początkowo pisząc o technologiach mobilnych, a następnie o (prawie) wszystkim związanym z technologią. Poprzednio pisał na łamach Tabletowo.pl oraz oiot.pl, gdzie poruszał tematykę sprzętu komputerowego, systemów operacyjnych, aplikacji, smart home, sztucznej inteligencji, a także nauki. Oprócz technologii jest wielkim fanem mody, a po godzinach pracy spędza czas ze słuchawkami na uszach, w których przede wszystkim gra rodzimy hip-hop.