בפברואר 2026 צץ באינטרנט שירות חדש בשם EvilTokens – פלטפורמת Phishing-as-a-Service שמתמחה בעקיפת MFA של Microsoft 365. תוך חמישה שבועות הפעילים שלה הצליחו לפרוץ 340 ארגונים ב-5 מדינות שונות. ועכשיו, חודשים אחרי שזה התחיל, השיטה מגיעה לארגונים בישראל.
איך השיטה עובדת
השיטה המסורתית של פישינג הייתה: לשלוח מייל עם קישור לעמוד התחברות מזויף, לתפוס סיסמה, להיכנס. כשהארגונים הפעילו MFA, השיטה הזו הפסיקה לעבוד – גם עם הסיסמה, התוקף נתקע בשלב הקוד מה-SMS או מהאפליקציה.
EvilTokens עוקפים את זה בדרך אחרת. הם משתמשים ב-OAuth Consent – מנגנון לגיטימי של מיקרוסופט שמאפשר לאפליקציות צד שלישי לבקש גישה לחשבון של משתמש. במקום לבקש סיסמה, התוקף שולח קישור שאומר משהו כמו "Microsoft Document Viewer מבקש גישה לקרוא את המיילים שלך".
המשתמש מקליק על הקישור, מועבר לעמוד אמיתי של מיקרוסופט (login.microsoftonline.com – לא דומיין מזויף), מזדהה עם MFA כרגיל, ולאחר מכן רואה בקשת הרשאה שנראית רגילה. הוא לוחץ Allow – ובלי לדעת, הוא נתן לתוקף token שמאפשר לו לגשת למייל שלו, ל-OneDrive, ולעיתים גם ל-Teams.
למה זה מסוכן יותר מפישינג רגיל
שלוש סיבות:
- אין סימני אזהרה. אין דומיין מזויף, אין הצורך להזין סיסמה במקום חריג, ההזדהות מתבצעת על שרתי מיקרוסופט הלגיטימיים.
- MFA לא עוצרת את זה. כי המשתמש באמת מזדהה עם MFA – רק שמה שהוא מאשר זה לא מה שהוא חושב.
- ה-Token שורד גם החלפת סיסמה. אם תזהו פריצה ותחליפו סיסמה, ה-token של ה-OAuth ימשיך לעבוד עד שתבטלו אותו ידנית במסך Consent Management.
מה לעשות מיד
שלוש פעולות שלוקחות פחות משעה ושוות מאוד:
1. הגבילו הרשאות לאפליקציות צד שלישי. ב-Microsoft Entra (לשעבר Azure AD) > Enterprise Applications > User settings. שנו את "Users can consent to apps" ל-"Do not allow user consent" או "Allow user consent for apps from verified publishers". זה דורש מהמשתמש לבקש אישור מאדמין לפני שאפליקציה מקבלת גישה.
2. עברו על האפליקציות הקיימות בארגון שלכם. Entra > Enterprise Applications > All applications. מי נתן הרשאות למי? כל אפליקציה שלא מוכרת לכם – הסירו. במיוחד אפליקציות שיש להן גישה ל-Mail.Read או Files.Read.All.
3. הפעילו ניטור על אירועי OAuth Consent. Microsoft 365 Defender > Hunting > Advanced Hunting. שאילתה לדוגמה: CloudAppEvents | where ActionType == "Consent to application". ככה תקבלו התראה על כל אישור חדש בארגון.
נקודה רחבה
הפישינג של 2026 שונה מהפישינג של 2020. תוקפים כבר לא מנסים לגנוב סיסמאות – הם מנצלים מנגנונים לגיטימיים של מיקרוסופט וגוגל. הפתרון של אתמול (MFA) לא מספיק. הצעד הבא הוא: בקרת הרשאות לאפליקציות, ניטור התנהגות, וגישה רק לפי תפקיד (Conditional Access).
אם אתם רוצים סקירת הגדרות אבטחה ב-Microsoft 365 שלכם – לא רק MFA אלא את הסטאק המלא של conditional access ו-OAuth – צרו קשר. אנחנו עושים סקירות כאלה לארגונים בינוניים, ובדרך כלל מוצאים 3-5 פערי הגדרה שניתן לסגור באותו יום.
למי שעדיין שוקל אם להעביר את הארגון ל-Microsoft 365, יש לנו השוואה בין Workspace ל-Microsoft 365 שמדבר גם על שיקולי אבטחה במעבר לענן.