Microsoft 365-accounts doelwit van device code phishing
Social engineering blijft een effectieve methode voor dreigingsactoren om gebruikers te misleiden tot het uitvoeren van ongewenste acties, zoals het installeren van applicaties of het delen van gevoelige informatie. Een specifieke techniek, device code phishing, wordt nu op grote schaal ingezet om toegang te krijgen tot Microsoft 365-accounts.
Onderzoekers van Proofpoint waarschuwen dat deze aanpak, die eerder vooral in gerichte redteam-activiteiten werd toegepast, sinds september 2025 deel uitmaakt van brede campagnes. Het securitybedrijf spreekt over een opvallende verschuiving in het dreigingslandschap.
Device code vermomd als eenmalig wachtwoord
Bij device code phishing begint een campagne vaak met een bericht dat een URL bevat, verborgen in een knop, hyperlink of QR-code. Wanneer een gebruiker de link volgt, start het autorisatieproces voor Microsoft-apparaten. De gebruiker ontvangt vervolgens een device code, die wordt gepresenteerd als een eenmalig wachtwoord (OTP). De instructie luidt om deze code in te voeren op de officiële verificatiepagina van Microsoft. Zodra dit gebeurt, valideert de aanvaller de bijbehorende token en verkrijgt zo toegang tot het account.
De phishingaanvallen worden in verschillende varianten uitgevoerd. Zo beweren aanvallers in sommige gevallen dat dat een herautorisatie van tokens moet worden uitgevoerd, terwijl in andere gevallen valse waarschuwingen over accountbeveiliging worden ingezet.
Diverse tools beschikbaar
Zowel staatsgesponsorde als financieel gemotiveerde dreigingsactoren zetten de aanvallers in, waaronder de bekende groep TA2723. Op hackingforums worden kwaadaardige applicaties en tools verkocht die het voor aanvallers eenvoudiger maken om campagnes op te schalen, zoals SquarePhish, SquarePhishV2 en Graphish. Deze tools helpen bij het omzeilen van de beperkte geldigheidsduur van device codes. Hierdoor zijn campagnes op grotere schaal dan voorheen mogelijk.
Succesvolle device code phishing-aanvallen leiden tot volledige controle over M365-accounts, met risico’s als datadiefstal, laterale bewegingen binnen netwerken en blijvende toegang. Proofpoint benadrukt het belang van strengere OAuth-controles en het vergroten van bewustzijn onder gebruikers over deze evoluerende dreigingen. Het bedrijf verwacht dat het misbruik van OAuth-authenticatie verder toeneemt, met name door de introductie van FIDO-conforme multi-factor authenticatie (MFA).
Meer informatie is hier beschikbaar.
Meer over Proofpoint
Over Wouter Hoeffnagel
