EvilTokens裝置碼釣魚PhaaS平台竊取Microsoft 365權杖

概述

EvilTokens 是 2026 年 2 月首現於 Telegram 的新型 PhaaS(Phishing-as-a-Service)平台,利用 OAuth 2.0 裝置授權流程(Device Code Flow)的設計漏洞,透過動態產生裝置碼的方式大幅提升釣魚攻擊成功率,目標為竊取 Microsoft 365 存取權杖。

核心技術:裝置碼釣魚

  • 濫用 OAuth 2.0 裝置授權流程,誘使用戶在合法 Microsoft 頁面輸入攻擊者控制的裝置碼
  • 隨需動態產生(on-demand):用戶點擊後才生成裝置碼,突破原 15 分鐘時效限制
  • 攻擊成功後取得長效 Refresh Token,可繞過 MFA 持續存取

EvilTokens 平台特點

  • vibe coding(AI 輔助生成)開發與維護
  • 提供多種假冒登入頁主題:微軟、Adobe、DocuSign
  • 附屬工具 Portal Browser:自動化管理多個被駭 M365 帳號,用於 BEC 攻擊橫向擴大
  • 2026年4月已觀察到 7 個不同變種

威脅行為者

  • TA4903:2026年3月利用此手法進行 BEC 詐騙

防禦建議

  1. 透過條件式存取政策(Conditional Access Policy)封鎖所有使用者的裝置碼驗證流(最佳)
  2. 建立白名單,僅允許可信使用者/設備/IP 啟用(次佳)

來源文章

相關頁面