EvilTokens, der har været observeret i aktive angreb siden februar 2026, er hurtigt blevet taget i brug af cyberkriminelle. Ifølge sikkerhedsforskere har EvilTokens blandt andet været anvendt i kampagner med fokus på at overtage konti og drive e-mailsvindel mod virksomheder. I marts 2026 blev mere end 340 organisationer på tværs af flere lande mål for en af disse kampagner.

I modsætning til klassisk phishing bliver brugeren ikke lokket til at indtaste sine loginoplysninger på en falsk hjemmeside. I stedet modtager offeret typisk en mail, der f.eks. indeholder et online-dokument eller en SharePoint-anmodning. Brugeren bliver herefter bedt om at gennemføre et login på Microsofts rigtige loginportal.

Legitim login – forkert modtager

Problemet er, at brugeren i virkeligheden godkender angriberens login-session. Dermed kan de kriminelle få adgang til virksomhedens Microsoft 365-miljø, herunder e-mail, filer, Teams, SharePoint og OneDrive.

Ifølge cybersikkerhedsvirksomheden ESET er angrebene særligt interessante for cyberkriminelle, der arbejder med forretningsrelateret e-mailsvindel, økonomisk svindel og datatyveri. Derfor er medarbejdere inden for økonomi, HR, logistik og salg ofte blandt de primære mål.

“EvilTokens viser, hvordan phishing udvikler sig. Medarbejderne gør i princippet alt det rigtige: De logger ind på Microsofts ægte hjemmeside og gennemfører 2-faktorgodkendelse. Alligevel kan de ende med at give angriberen adgang til virksomhedens data. Det gør denne type angreb særligt vanskelig at opdage,” siger Leif Jensen, it-sikkerhedsekspert og country manager hos ESET i Norden.

Sådan reducerer virksomheder risikoen

Ifølge ESET bør virksomheder være særligt opmærksomme på uventede anmodninger om login- eller enhedskoder, også når de kommer via velkendte platforme. ESET anbefaler derfor virksomheder og medarbejdere følgende:

• Vær skeptisk over for uventede anmodninger om login- eller enhedskoder.

• Godkend kun loginanmodninger, som du selv har igangsat.

• Vurder altid konteksten bag en loginanmodning – ikke kun om siden ser legitim ud.

• Begræns eller deaktiver Microsofts device code-funktion, hvor den ikke er nødvendig.

• Opdater virksomhedens awareness-træning, så medarbejdere lærer at genkende moderne phishingmetoder, der misbruger legitime loginflows.

“Mange medarbejdere er blevet trænet til at kigge efter falske hjemmesider og stavefejl i links. Det er stadig relevant, men ikke længere nok. Moderne phishing udnytter i stigende grad legitime tjenester og processer, og derfor skal virksomheder opdatere både deres tekniske forsvar og deres sikkerhedsuddannelse,” slutter Leif Jensen.