EvilTokens, el kit de phishing especializado en cuentas de Microsoft 365

Conseguir que un usuario entregue voluntariamente sus credenciales bajo engaño es probablemente uno de los métodos más sencillos para lograr acceso a un entorno corporativo. Si la autenticación multifactor ha contribuido a reducir ese vector de ataque, el uso de la técnica conocida como phishing mediante códigos de dispositivo es capaz de esquivar esa barrera.

Es el método utilizado por EvilTokens, un kit de phishing como servicio que, como señala ESET, utiliza un método legítimo de autenticación para lograr su propósito. En concreto, se sirve de OAuth 2.0, una funcionalidad diseñada para facilitar el inicio de sesión en dispositivos como televisores o impresoras, en los que es más incómodo introducir las credenciales de acceso.

Con EvilTokens se genera un código de dispositivo válido, que se incorpora a “correos electrónicos o mensajes que simulan compartir documentos, facturas, invitaciones de calendario o solicitudes de acceso a plataformas corporativas”. Estos mensajes redirigen a una página legítima de Microsoft, en la que se completa la autenticación con el código falso.  La víctima da así acceso a la sesión iniciada por el ciberdelincuente.

Josep Albors, director de investigación y concienciación de ESET España, destaca que, “durante años hemos enseñado a los usuarios a desconfiar de enlaces sospechosos o páginas de inicio de sesión falsas, pero ataques como EvilTokens demuestran que los delincuentes están adaptando sus tácticas. En este caso, la víctima interactúa con una página legítima de Microsoft y completa un proceso de autenticación real, lo que hace que el fraude resulte mucho más difícil de detectar”.