Una piattaforma di phishing-as-a-service sta trasformando l'accesso con device-code di Microsoft in un percorso chiavi in mano per il furto di token, il dirottamento di sessione e una compromissione cloud più silenziosa.
Un kit di phishing collegato all’abuso dei device code mostra come gli aggressori possano strumentalizzare flussi di accesso legittimi e persino livelli affidabili di tracciamento dei link per mettere sotto pressione le identità Microsoft 365.
Gli attaccanti abusano di un vero percorso di accesso OAuth per trasformare la collaborazione dell’utente in furto di token, spostando la lotta dalle password al livello stesso dell’identità.
Una campagna di phishing legata al kit EvilTokens viene descritta come basata su inviti di Outlook e sull'abuso del login con device code per colpire le sessioni Microsoft 365 invece delle password.
Un ecosistema di phishing familiare sembra essersi spostato da false pagine di accesso a una debolezza più sottile: l’abuso di un flusso OAuth legittimo per aggirare le protezioni multi-fattore.