EvilTokens裝置碼釣魚PhaaS平台竊取Microsoft 365權杖
概述
EvilTokens 是 2026 年 2 月首現於 Telegram 的新型 PhaaS(Phishing-as-a-Service)平台,利用 OAuth 2.0 裝置授權流程(Device Code Flow)的設計漏洞,透過動態產生裝置碼的方式大幅提升釣魚攻擊成功率,目標為竊取 Microsoft 365 存取權杖。
核心技術:裝置碼釣魚
- 濫用 OAuth 2.0 裝置授權流程,誘使用戶在合法 Microsoft 頁面輸入攻擊者控制的裝置碼
- 隨需動態產生(on-demand):用戶點擊後才生成裝置碼,突破原 15 分鐘時效限制
- 攻擊成功後取得長效 Refresh Token,可繞過 MFA 持續存取
EvilTokens 平台特點
- 以 vibe coding(AI 輔助生成)開發與維護
- 提供多種假冒登入頁主題:微軟、Adobe、DocuSign
- 附屬工具 Portal Browser:自動化管理多個被駭 M365 帳號,用於 BEC 攻擊橫向擴大
- 2026年4月已觀察到 7 個不同變種
威脅行為者
- TA4903:2026年3月利用此手法進行 BEC 詐騙
防禦建議
- 透過條件式存取政策(Conditional Access Policy)封鎖所有使用者的裝置碼驗證流(最佳)
- 建立白名單,僅允許可信使用者/設備/IP 啟用(次佳)
來源文章
- device-code-phishing-m365-ithome-175885 — 原始來源(iThome 2026-05-18)
相關頁面
- microsoft-365 — 主要攻擊目標