EvilTokens: Phishing que contorna 2FA usando fluxo legítimo da Microsoft
Kit de phishing EvilTokens aproveita o fluxo OAuth 2.0 de dispositivo da Microsoft para acessar contas sem precisar falsificar páginas ou roubar senhas.
O que é o EvilTokens?
EvilTokens é um kit de phishing‑as‑a‑service (PhaaS) que tem como alvo contas Microsoft 365. Diferente dos ataques tradicionais, ele não cria páginas falsas; em vez disso, subverte o fluxo de autenticação oficial da Microsoft para obter acesso completo.
O serviço é anunciado em canais do Telegram e já aparece em campanhas ativas desde fevereiro de 2026. Seu modelo de negócio permite que cibercriminosos comprem ou alugem o kit, facilitando a rápida disseminação da técnica.
Abuso do fluxo OAuth 2.0 de dispositivo
O fluxo de autorização por dispositivo foi pensado para gadgets sem teclado, como TVs ou impressoras. O aparelho exibe um código curto que o usuário digita em um navegador em outro dispositivo. Após validar o código, a Microsoft emite tokens de acesso ao aparelho original.
EvilTokens gera códigos válidos e engana a vítima para inseri‑los em uma página real da Microsoft. Como a Microsoft reconhece o fluxo como legítimo, a etapa de segunda fator (2FA) também é concluída pelo usuário, permitindo ao atacante obter os tokens sem jamais ver a senha.
Casos reais e alcance das campanhas
Investigações da Sekoia e da própria Microsoft revelaram que o kit foi usado em mais de 340 organizações em vários países durante março de 2026. Uma campanha alimentada por IA gerava códigos dinâmicos e mensagens personalizadas para elevar a taxa de sucesso.
Os vetores de distribuição incluem grupos no Telegram e fóruns subterrâneos. Os ataques foram vinculados a operações de tomada de conta (Account Takeover) e Business Email Compromise (BEC), demonstrando a versatilidade do método.
Medidas de proteção para usuários e empresas
Confiar apenas em avisos como “não insira códigos de fontes desconhecidas” não é suficiente; o código aparece em um site Microsoft autêntico. As organizações devem adotar camadas adicionais de defesa.
- Educação contínua: treine usuários para questionar solicitações inesperadas de códigos, mesmo que a URL seja legitima.
- Política de dispositivos: restrinja a geração de códigos de autorização a dispositivos gerenciados.
- Autenticação adaptativa: avalie o risco da sessão antes de aprovar o segundo fator.
- Monitoramento de anomalias: alerte sobre logins simultâneos em locais incomuns ou fluxos de token anômalos.
Adotar essas boas práticas reduz drasticamente a chance de que o atacante consiga completar o ciclo de autenticação, mesmo que o usuário acabe inserindo o código.
