Şifresiz Soygun: "EvilTokens" Sahte Giriş Sayfası Olmadan Hesapları Ele Geçiriyor!

Siber güvenlik dünyası, geleneksel kimlik avı (phishing) yöntemlerini tamamen çöpe atan yeni nesil bir tehditle karşı karşıya. Küresel siber güvenlik lideri ESET, Microsoft 365 hesaplarını hedef alan ve kurbanların şifrelerini çalmaya gerek duymadan çalışan "EvilTokens" adlı tehlikeli kitin anatomisini çıkardı. Saldırganlar, sahte siteler kurmak yerine kullanıcıya gerçek Microsoft sayfası üzerinden kendi elleriyle erişim izni verdirtiyor.

Dijital dünyada güvenlik önlemleri arttıkça, siber korsanların geliştirdiği yöntemler de akılalmaz boyutlara ulaşıyor. Güvenlik şirketi ESET’in mercek altına aldığı "EvilTokens" adlı yeni nesil kimlik avı kiti, siber suçlular arasında hızla yaygınlaşmaya başladı. Mart 2026'da dünya genelinde 340'tan fazla büyük kuruluşu eş zamanlı vuran bu siber silah; bildiğimiz sahte banka veya mail giriş sayfalarına ihtiyaç duymuyor. Sistem, Microsoft'un meşru "cihaz kodu kimlik doğrulama" (device code login) akışını manipüle ederek iki faktörlü doğrulamayı (2FA) bile devre dışı bırakabiliyor.

Şirketlerin Yeni Baş Belası: Kurumsal E-Posta Dolandırıcılığında "Cihaz Kodu" Tehdidi

Şeytani İllüzyon: Saldırı Adım Adım Nasıl Gerçekleşiyor?

ESET uzmanlarının incelemelerine göre, EvilTokens kiti kullanan hackerlar son derece organize ve sabırlı bir taktik izliyor:

• 10 Gün Önce Keşif: Saldırganlar, gerçek saldırı dalgasından 10 ila 15 gün önce hedef hesabın aktif ve geçerli olup olmadığını anlamak için sinsi bir "keşif" aşaması yürütüyor.

• Yem E-Postası: Kurbana; acil ödenmesi gereken bir fatura, paylaşılan kritik bir SharePoint belgesi veya kurumsal takvim daveti şeklinde kamufle edilmiş sahte bir e-posta gönderiliyor.

• 15 Dakikalık Kritik Süre: Kullanıcı maildeki linke tıkladığında, arka planda çalışan sistem Microsoft sunucularından anlık bir erişim kodu talep ediyor. Bu kodun ömrü sadece 15 dakika olduğu için süreç çok hızlı işletiliyor.

• Kendi Eliyle Yetki Verme: Açılan ekranda kurbana meşru bir kod gösteriliyor ve şahıs doğrudan Microsoft'un resmi microsoft.com/devicelogin adresine yönlendiriliyor. Kullanıcı buraya kadar her şeyin resmi ve güvenli olduğunu düşünerek kodu giriyor. Ancak buradaki ölümcül tuzak; girilen kodun aslında kurbana değil, saldırganın cihazına ait olması. Kullanıcı, farkında olmadan saldırganın bilgisayarını kendi hesabı için yetkilendirmiş oluyor.

• Tüm Şirket Hafızası Korsanların Elinde: Microsoft, geçerli kodu onayladığı an saldırganın sistemine "erişim ve yenileme jetonları" (tokens) fırlatıyor. Şifreye ihtiyaç duymadan içeri sızan korsanlar; şirketin e-postalarına, Teams yazışmalarına, OneDrive ve SharePoint dosyalarına tam erişim sağlıyor. Özellikle Finans, İnsan Kaynakları ve Satış departmanlarının hesapları bu yöntemle sömürülüyor.

Yeni Nesil Siber Kabustan Korunmanın Yolları

ESET, şirketleri ve bireysel kullanıcıları bu şifresiz hesap ele geçirme dalgasına karşı koruyacak hayati ipuçlarını paylaştı:

• Beklenmedik Kod Taleplerine Şüpheyle Yaklaşın: Hiçbir fatura, belge veya resmi e-posta, durup dururken sizden bir "cihaz kodu" girmenizi istemez. Aniden önünüze düşen bu tarz talepleri doğrudan şirketinizin BT (Bilgi Teknolojileri) birimine bildirin.

• "Sayfa Gerçek, O Halde Güvendeyim" Yanılgısını Bırakın: Girdiğiniz web adresinin microsoft.com olması işlemin güvenli olduğu anlamına gelmez. Onay vermeden önce hangi uygulamanın, hangi hesap için yetki istediğini ve bu işlemi o saniyede bizzat sizin başlatıp başlatmadığınızı mutlaka sorgulayın.

• Kuruluşlar İçin "Koşullu Erişim" Şart: Şirketlerin BT yöneticileri, kurumsal ağ üzerinde zorunlu olmadıkça cihaz kodu akışını tamamen kısıtlamalıdır. Microsoft'un da önerdiği üzere, Koşullu Erişim (Conditional Access) ilkeleri uygulanarak bu akış sadece belirli güvenli cihazlar, lokasyonlar ve işletim sistemleriyle sınırlandırılmalıdır.

• Eğitimleri Güncelleyin: Kurumsal siber güvenlik farkındalığı eğitimlerinin içeriği acilen güncellenmelidir. Personele, modern siber saldırıların artık sahte sitelere şifre yazmaktan ibaret olmadığı, resmi siteler üzerinden de tuzaklar kurulabileceği net bir şekilde aktarılmalıdır.

Eğer bir çalışan şüpheli bir kod doğrulama hatası ya da uyarısı aldıysa, siber güvenlik ekipleri vakit kaybetmeden oturum açma günlüklerini incelemeli, mevcut tüm aktif tokenları geçersiz kılmalı ve hesabı inceleme tamamlanana kadar geçici olarak askıya almalıdır.