EvilTokens: phishing nadużywający device code flow umożliwia przejęcie konta Microsoft 365 bez kradzieży hasła
Analitycy ESET zwracają uwagę na EvilTokens, narzędzie typu phishing-as-a-service (PhaaS) służące do przejmowania kont Microsoft 365. Zamiast podrabiać stronę logowania i wykradać hasła, narzędzie nadużywa mechanizmu OAuth 2.0 device authorization grant flow, czyli logowania kodem urządzenia.