En ny phishingmetode kan give cyberkriminelle adgang til virksomheders Microsoft 365-konti, uden at de behøver stjæle passwords eller sende brugeren ind på en falsk login-side. Metoden kaldes EvilTokens og misbruger Microsofts egen loginfunktion. Ifølge cybersikkerhedsvirksomheden ESET har metoden været set i aktive angreb siden februar 2026.
I marts blev mere end 340 organisationer på tværs af flere lande ramt i en kampagne, hvor angriberne forsøgte at overtage konti og bruge dem til blandt andet e-mailsvindel. Det særlige ved metoden er, at brugeren faktisk logger ind på Microsofts rigtige loginportal. Offeret modtager typisk en mail med for eksempel et online-dokument eller en SharePoint-anmodning og bliver derefter bedt om at gennemføre et login.
Men i virkeligheden godkender brugeren angriberens login-session, og dermed kan cyberkriminelle få adgang til virksomhedens Microsoft 365-miljø. Det kan blandt andet omfatte e-mail, filer, Teams, SharePoint og OneDrive.
Svært at opdage
Ifølge ESET gør metoden angrebene ekstra svære at gennemskue, fordi medarbejderen på overfladen gør det rigtige.
- EvilTokens viser, hvordan phishing udvikler sig. Medarbejderne gør i princippet alt det rigtige: De logger ind på Microsofts ægte hjemmeside og gennemfører 2-faktorgodkendelse. Alligevel kan de ende med at give angriberen adgang til virksomhedens data. Det gør denne type angreb særligt vanskelig at opdage, siger Leif Jensen, it-sikkerhedsekspert og country manager hos ESET i Norden.
ESET vurderer, at metoden især er interessant for kriminelle, der arbejder med økonomisk svindel, datatyveri og forretningsrelateret e-mailsvindel. Derfor kan medarbejdere i økonomi, HR, logistik og salg være særligt udsatte.
Virksomheder bør ifølge ESET være ekstra opmærksomme på uventede loginanmodninger og enhedskoder, også når de ser ud til at komme fra velkendte tjenester.
- Moderne phishing udnytter i stigende grad legitime tjenester og processer, og derfor skal virksomheder opdatere både deres tekniske forsvar og deres sikkerhedsuddannelse, siger Leif Jensen.