Phishing-as-a-Service ile Yeni Tehdit: EvilTokens
2026 Şubat ayında EvilTokens adında bir ‘phishing-as-a-service’ (PhaaS) platformu faaliyete geçti. Beş hafta içinde, bu platform 340’tan fazla Microsoft 365 organizasyonunu beş ülkede hedef alarak ciddi bir güvenlik tehdidi oluşturdu.
Saldırı Nasıl Çalışıyor?
EvilTokens, hedef kullanıcılarına microsoft.com/devicelogin adresine kısa bir kod girmelerini ve normal çok faktörlü kimlik doğrulama (MFA) süreçlerini tamamlamalarını isteyerek saldırıya geçiyor. Kullanıcılar, bu sürecin basit bir oturum açma doğrulama işlemi olduğuna inanarak yanından ayrılıyorlar. Fakat bu durum, operatörün kullanıcıların posta kutusu, dosya, takvim ve kişilere erişim sağlayan geçerli bir tazeleme belirteci (refresh token) elde etmesine neden oluyor. Operatör, kullanıcıların parolasını bilmeye gerek duymadan, MFA tetiklemeksizin ve herhangi bir oturum açma etkinliği oluşturulmadan bu saldırıyı gerçekleştiriyor.
Etkilenen Sistemler
Saldırının altındaki temel neden, OAuth izin ekranının kullanıcılar tarafından otomatik olarak onaylanması ve kimlik bilgilerini korumak amaçlı oluşturulan kontrollerin bu izin katmanına odaklanmamasıdır. Güvenlik araştırmacıları, bu durumu “izin phishing” veya “OAuth yetki kötüye kullanımı” olarak adlandırıyor.
CVE Kodu ve Teknik Detaylar
- CVE-xxxx: Tespit edilen güvenlik açığı ile ilgili detaylar
- Versiyon: Saldırıdan etkilenen yazılım versiyonları
Çözüm ve Korunma
OAuth uygulama envanteri oluşturun:
- Sürekli olarak güncellenen ve denetim zamanı yerine sürekli olarak tazeleme belirteçlerini tutan üçüncü taraf uygulamaları gözden geçirin.
Açık izni yeniden gözden geçirin:
- 30 günden eski tazeleme belirteçlerini yeniden onaylamak için gereken süreçleri belirtin.
Çapraz uygulamalarda kimlik incelemesi yapın:
- Üç veya daha fazla SaaS uygulamasında izinler taşıyan kimlikleri belirleyin ve gerekli incelemeleri yapın.
Agent ve entegrasyon köprülerini kontrol edin:
- İki sistemi birleştiren AI ajanlarının ve entegrasyonların onayını sorgulayın.
Koşullu erişim politikaları oluşturun:
- Onay olaylarında yeniden tetiklenecek politikalar belirleyin.
Token becerisi ile iptal:
- Kullanıcıyı askıya almak yerine tek bir OAuth belirtecini iptal etmeyi sağlayan bir plan oluşturun.
Aksiyon
Kuruluşlar, güncellemeleri, belirteçlerin sürelerini ve güvenlik açıklarını sürekli izlemelidir. Kullanıcıların kimlik onay süreçleri üzerinde daha fazla kontrol sağlanması için gerekli önlemler alınmalıdır. MFA’nın, izin katmanlarını göz ardı ettiği için yeterli olmadığı ve tazeleme belirtecinin bir oturum açma izniyle ilişkili olduğu hatırlanmalıdır. Güvenlik açığını azaltmak için kullanıcıları bilgilendirin, düzenli güncellemeleri gerçekleştirin ve gereksiz erişimleri iptal edin.
Bu yeni siber tehditlerin önüne geçebilmek için organizasyonların, OAuth işlemlerini ve izin katmanlarını daha sıkı bir şekilde gözlemlemesi gerekmektedir.
