Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 20 mei 2026

Cybercriminelen breiden phishingtechnieken uit met device code- en OAuth-aanvallen

Cybercriminelen passen hun methoden aan en maken steeds vaker gebruik van geavanceerde phishingtechnieken, zoals device code- en OAuth phishing. Hoewel organisaties zich beter wapenen tegen bekende vormen, zoals phishing gericht op multifactor authenticatie (MFA), bieden nieuwe tools en social engineering criminelen de mogelijkheid om op grote schaal slachtoffers te benaderen.

Security
Cybercriminelen breiden phishingtechnieken uit met device code- en OAuth-aanvallen image

Hiervoor waarschuwen onderzoekers van Proofpoint op basis van onderzoek. Tussen 2020 en 2022 maakten zowel red teams als criminelen en spionageactoren gebruik van de device code-phishingtechniek om toegang te verkrijgen tot zakelijke e-mailaccounts. Sinds het najaar van 2025 zijn criminele phishingtools voor apparaatcodes openbaar beschikbaar gekomen. In combinatie met innovaties in aanvalsketens, versterkt door ‘vibe coding’, is deze techniek uitgegroeid tot een wijdverspreide methode voor massale phishingaanvallen.

OAuth 2.0-autorisatieprocedure misbruikt

Dreigingsactoren misbruiken de OAuth 2.0-autorisatieprocedure voor apparaten om Microsoft 365- of andere zakelijke accounts te compromitteren door toegang te verlenen aan door hen beheerde applicaties. Hoewel de meeste campagnes gericht zijn op Microsoft-accounts, heeft Proofpoint ook aanvallen op Google-accounts waargenomen, zij het in mindere mate.

Een veelgebruikte tactiek binnen device code phishingcampagnes is ‘account takeover (ATO) jumping’. Hierbij maakt een aanvaller eerst een e-mailaccount buit en gebruikt deze vervolgens om phishinglinks naar een groot aantal contacten te sturen. De campagnes beginnen vaak met een bericht waarin een URL op verschillende manieren wordt aangeboden, bijvoorbeeld via een knop, hyperlink, document of QR-code. Wanneer een gebruiker de URL bezoekt, start een aanvalsreeks die gebruikmaakt van het legitieme autorisatieproces voor Microsoft-apparaten.

Dynamisch genereren van codes

Een belangrijke ontwikkeling is het dynamisch genereren van codes. Waar criminelen eerder een code aanmaakten en deze direct naar slachtoffers stuurden met een vervaltermijn van vijftien minuten, worden codes nu op verzoek gegenereerd wanneer een gebruiker op een phishinglink klikt. Hierdoor kan de aanval op elk moment worden gestart, ongeacht wanneer de e-mail wordt geopend. Deze nieuwe implementaties zijn beschikbaar via phishing-as-a-service (PhaaS)-diensten, zoals EvilTokens of Tycoon, of worden zelf ontwikkeld en beheerd door de criminelen.

Succesvolle device code phishingaanvallen kunnen leiden tot volledige accountovernames, diefstal van gevoelige informatie, fraude, misbruik van zakelijke e-mail en laterale bewegingen binnen een gecompromitteerde omgeving. Ook kunnen ze de weg vrijmaken voor verstorende aanvallen zoals ransomware.

Steeds grotere dreiging

Device code phishing neemt een steeds grotere plaats in binnen het dreigingslandschap, met wekelijks nieuwe phishingtools die opduiken. De sterke toename van deze vorm van phishing valt samen met de algemene beschikbaarheid van criminele toolkits en de opkomst van diverse phishing-as-a-service-diensten.

Bij de meeste waargenomen activiteiten worden ‘vibe-coded’ technieken toegepast. Het is onduidelijk of aanvallers openbaar beschikbare tools kopiëren en aanpassen, of dat ze vergelijkbare prompts gebruiken om vrijwel identieke aanvalsstromen te genereren.

Ondanks de verschillende manieren waarop de tools worden gemaakt en ingezet, blijft de verdedigingsstrategie tegen device code phishing hetzelfde.

Device codestroom blokkeren

Organisaties kunnen zich beschermen door de device codestroom waar mogelijk te blokkeren. De meest effectieve maatregel is het instellen van voorwaardelijke toegang met behulp van ‘Authentication Flows’, waardoor de apparaatcodestroom voor alle gebruikers wordt geblokkeerd. Beleidsregels voor voorwaardelijke toegang kunnen eerst in een rapportmodus worden geïmplementeerd om de impact op de omgeving te bepalen.

Als het niet haalbaar is om de device codestroom volledig te blokkeren, kan voorwaardelijke toegang worden gebruikt om een whitelist-benadering op te zetten. Hierbij wordt authenticatie via apparaatcodes alleen ingeschakeld voor goedgekeurde gebruikers, besturingssystemen of IP-bereiken, bijvoorbeeld door gebruik te maken van ‘Named Locations’.

Daarnaast kunnen organisaties die gebruikmaken van apparaatregistratie of Intune, beleidsregels voor voorwaardelijke toegang inzetten die vereisen dat aanmeldingen plaatsvinden vanaf een compatibel of geregistreerd apparaat. Dit moet onderdeel zijn van een gelaagde beveiligingsstrategie.

Tot slot is het vergroten van het bewustzijn onder gebruikers essentieel. Traditionele phishingtraining richt zich vaak op het controleren van de legitimiteit van URL’s, maar dit biedt geen bescherming tegen device code phishing, waarbij gebruikers worden gevraagd een apparaatcode in te voeren op het vertrouwde Microsoft-portaal. In trainingen moet worden benadrukt dat gebruikers geen apparaatcodes mogen invoeren die afkomstig zijn van onbetrouwbare bronnen.

Dutch IT Security Day 2026 BW + BN Axians BW + BN

Dutch IT events

Event icon

Event

Dutch IT Golf Cup 2026

Event icon

Event

Dutch IT Security Day: praktische inzichten, trends en netwerken

Alle events
Dutch IT Security Day 2026 BW + BN

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online Content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!