Device code phishing: de volgende stap in identiteitsfraude

Cybercriminelen hebben hun arsenaal uitgebreid met technieken als device code- en OAuth phishing. Phishing gericht op inloggegevens blijft een effectieve methode die verschillende misdrijven mogelijk maakt, van accountovernames (ATO) en fraude tot ransomware en spionage. Toch kunnen organisaties zich steeds beter verdedigen tegen veelvoorkomende phishingtechnieken, zoals phishing gericht op multifactor authenticatie (MFA). In combinatie met door Large Language Models (LLM’s) gegenereerde tools en social engineering kunnen criminelen dergelijke technieken gebruiken om op grote schaal meer mensen te benaderen met nieuwe social-engineeringtrucs. Deze trend is opgemerkt door Proofpoint in een nieuw onderzoek.

Van 2020 tot 2022 maakten red teams, maar soms ook criminelen en spionageactoren, gebruik van de ‘device code’-phishingtechniek om mensen te verleiden een kwaadaardige app toegang te verlenen tot hun zakelijke e-mailaccounts. De publicatie van criminele phishingtools voor apparaatcode in het najaar van 2025, in combinatie met nieuwe innovaties in aanvalsketens die werden versterkt door ‘vibe coding’-bronnen, veranderden de techniek in een vrijbrief voor massale phishingaanvallen.

Dreigingsactoren maken misbruik van de OAuth 2.0-autorisatieprocedure voor apparaten om Microsoft 365- of andere zakelijke gebruikersaccounts te compromitteren. Dit doen zij door toegang te verlenen aan door hen beheerde applicaties. Hoewel de meeste device code phishingcampagnes gericht zijn op Microsoft-accounts, heeft Proofpoint ook campagnes voor Google waargenomen, zij het in aanzienlijk kleinere aantallen.

Device code phishingcampagnes maken vaak gebruik van ‘account takeover (ATO) jumping’. Dit is een techniek waarbij een aanvaller eerst een e-mailaccount buitmaakt en deze vervolgens gebruikt om phishinglinks naar een groot aantal contacten te sturen. In de waargenomen activiteiten beginnen campagnes met een eerste bericht waarin een URL op verschillende manieren wordt aangeboden, bijvoorbeeld verwerkt in een knop, als hyperlink, opgenomen in een document of in een QR-code. Wanneer een gebruiker de URL bezoekt, wordt een aanvalsreeks gestart die gebruikmaakt van het legitieme autorisatieproces voor Microsoft-apparaten. De huidige wereld van device codes kent een belangrijk verschil dat de populariteit ten opzichte van de oorspronkelijke implementaties heeft vergroot: het genereren van code op verzoek.

Vroeger genereerden cybercriminelen een code en stuurden die rechtstreeks naar de ontvangers, waarbij ze zeiden dat ze de code zo snel mogelijk moesten invoeren omdat deze na vijftien minuten zou verlopen. Als een slachtoffer de e-mail niet zag, of besloot te wachten met het klikken op kwaadaardige URL’s, zou de code verlopen en had de cybercrimineel pech. De huidige versies pakken de beperkingen van deze vervaltermijn van vijftien minuten aan. Bij de meeste huidige device code phishingaanvallen wordt de code dynamisch gegenereerd wanneer een gebruiker op de eerste phishinglink klikt. Door deze ogenschijnlijk kleine verandering kan de gebruiker de e-mail op elk moment bekijken om de aanvalsketen in gang te zetten. Deze nieuwe implementaties van device code aanvalsketens kunnen worden aangeschaft via phishing-as-a-service (PhaaS)-aanbiedingen, zoals EvilTokens of Tycoon. Ook worden deze gemaakt en beheerd door de cybercrimineel die de campagnes uitvoert.

Succesvolle device code phishingaanvallen kunnen leiden tot volledige overname van accounts, diefstal van gevoelige informatie, fraude en misbruik van zakelijke e-mail. Ook kunnen ze zorgen voor laterale bewegingen binnen een gecompromitteerde omgeving en zelfs verstorende aanvallen zoals ransomware.

Dit zijn de belangrijkste bevindingen van het onderzoek:
Device code phishing wordt steeds groter in het dreigingslandschap, waarin elke week nieuwe phishingtools opduiken.
De sterke toename in device code phishing valt samen met de algemene beschikbaarheid van criminele toolkits en de opkomst van diverse ‘phishing-as-a-service’ (PhaaS)-diensten.
Bij het merendeel van de vastgestelde activiteiten wordt gebruikgemaakt van ‘vibe-coded’ technieken. Het is onduidelijk of de meeste aanvallers openbaar beschikbare tools kopiëren en aanpassen, of dat ze vergelijkbare prompts gebruiken om vrijwel identieke aanvalsstromen in hun geheel te genereren.
Ongeacht hoe de tool is gemaakt en welke device code de dreigingsactoren gebruiken, de verdedigingsstrategie blijft hetzelfde.
De opkomst van device code phishing is een logisch vervolg op phishing gericht op inloggegevens. Nu steeds meer mensen op de hoogte zijn van methoden om meervoudige authenticatie te omzeilen, moeten criminelen creatief worden.
Verdediging tegen device code phishing blijft hetzelfde, ongeacht de kit of de manier van inzet:
Blokkeer de device codestroom waar mogelijk: De meest effectieve beveiligingsmaatregel is het opstellen van voorwaardelijke toegang met behulp van ‘Authentication Flows’. Zo wordt de apparaatcodestroom voor alle gebruikers geblokkeerd. Beleidsregels voor voorwaardelijke toegang kunnen eerst worden geïmplementeerd in een rapportmodus, of door de ‘beleidseffecten’ te bekijken aan de hand van aanmeldingslogboeken, om zo de impact op een omgeving te bepalen. Als het niet haalbaar is om de device codestroom volledig te blokkeren, kan voorwaardelijke toegang worden gebruikt om een whitelist-benadering op te zetten op basis van toegestane gebruiksscenario’s. Zo kan de authenticatie via apparaatcodes alleen worden ingeschakeld voor goedgekeurde gebruikers, besturingssystemen of IP-bereiken, bijvoorbeeld door gebruik te maken van ‘Named Locations’. 
Vereis compatibele of gekoppelde apparaten: Als organisaties gebruikmaken van apparaatregistratie of Intune, bieden beleidsregels voor voorwaardelijke toegang bescherming tegen phishing via apparaatcodes. Hierbij wordt vereist dat aanmeldingen plaatsvinden vanaf een compatibel of geregistreerd apparaat. Dit moet worden ingezet als onderdeel van een strategie voor gelaagde beveiliging, aangezien er waarschijnlijk uitzonderingen op deze vereiste zullen zijn, in vergelijking met een specifiek beleid voor de verwerking van device codes.  
Vergroot het bewustzijn van gebruikers met betrekking tot phishingaanvallen waarbij device codes worden misbruikt: Bij traditionele voorlichting over phishing ligt de nadruk vaak op het controleren van de legitimiteit van URL’s. Deze aanpak biedt echter geen effectieve bescherming tegen device code phishing, waarbij gebruikers worden gevraagd een apparaatcode in te voeren op het vertrouwde Microsoft-portaal. In trainingen voor gebruikers moet worden benadrukt dat ze geen apparaatcodes mogen invoeren die afkomstig zijn van onbetrouwbare bronnen.