The New Phishing Click: How OAuth Consent Bypasses MFA

EvilTokens라는 피싱 플랫폼이 MFA를 우회해 340개 Microsoft 365 조직을 공격했다.

2026년 2월, EvilTokens라는 피싱 서비스 플랫폼이 등장하여 단 5주 만에 340개 이상의 Microsoft 365 조직을 공격하였다. 사용자는 microsoft.com/devicelogin에서 코드를 입력하라는 메시지를 받고 정상적인 MFA 도전을 완료했다고 믿으며 속아 넘어갔다. 이 사례는 OAuth 동의가 어떻게 MFA를 우회하는지 보여준다.

EvilTokens phishing platform bypassed MFA, targeting 340 Microsoft 365 organizations.

In February 2026, a phishing-as-a-service platform named EvilTokens launched and compromised over 340 Microsoft 365 organizations in just five weeks. Targeted users received messages prompting them to enter a code at microsoft.com/devicelogin, believing they had completed their normal MFA challenge. This incident highlights how OAuth consent can be exploited to bypass MFA security measures.