EvilTokens è un kit di strumenti per il phishing-as-a-service che prende di mira gli account Microsoft 365 sfruttando il flusso di autorizzazione OAuth 2.0. Questo attacco non ruba password né utilizza pagine di login false, ma induce le vittime a completare un'autenticazione legittima su una pagina autentica di Microsoft, inclusa l'autenticazione a due fattori (2FA). Gli hacker ottengono così l'accesso agli account senza bisogno di credenziali, permettendo loro di accedere a email, file e altre risorse sensibili.
Leggi su GoYou