Device Code Phishing

Een opkomende en moeilijk detecteerbare aanvalsvector

Neem contact op

De afgelopen periode zien we bij diverse organisaties een duidelijke toename van een relatief nieuwe phishingtechniek: device code phishing. Deze aanvalsvorm onderscheidt zich doordat gebruikers worden misleid om zelf een legitieme authenticatiehandeling uit te voeren, waarmee zij onbewust toegang verlenen tot hun account aan een aanvaller.

Wat deze methode extra gevaarlijk maakt, is dat traditionele securitymaatregelen deze aanvallen vaak minder goed detecteren. Er worden namelijk geen malafide inlogpagina’s gebruikt, e-mails lijken afkomstig van legitieme bronnen en de authenticatie vindt plaats via officiële Microsoft-omgevingen. In deze blog/whitepaper lichten we toe hoe device code phishing werkt, waarom het zo effectief is en welke maatregelen organisaties kunnen nemen om het risico te beperken.

Hoe werkt device code phishing?

De aanval begint meestal met een phishing e-mail waarin een gebruiker wordt geïnformeerd dat er een document voor hem of haar klaarstaat. Deze e-mail is vaak afkomstig van een ogenschijnlijk legitiem adres, zoals een nieuw aangemaakt Gmail-account dat technisch voldoet aan e-mailbeveiligingscontroles (zoals SPF, DKIM en DMARC).

De gebruiker wordt via een link doorgestuurd naar een ogenschijnlijk onschuldige pagina, vaak een formulieromgeving (bijvoorbeeld een enquêteplatform). Deze pagina bevat vervolgens een verwijzing naar een volgende stap, waarin de gebruiker wordt gevraagd:

  1. Een gegenereerde code te kopiëren
  2. Op een link te klikken (veelal een officiële Microsoft-loginpagina) Vervolgens belandt de gebruiker op een legitieme Microsoft-inlogpagina, waar gevraagd wordt om de eerder gekopieerde device code in te voeren en zich te authentiseren.
De legitieme device code Microsoft-loginpagina.
De legitieme device code Microsoft-loginpagina.

Wat er feitelijk gebeurt, is dat de gebruiker inlogt op een sessie die door de aanvaller is gestart. Door deze actie geeft de gebruiker expliciet toestemming aan het device van de aanvaller om namens hem of haar toegang te verkrijgen tot het account.

Kenmerkend hierbij is dat:

  • De login plaatsvindt via een geldig Microsoft-platform
  • Er geen sprake is van credential harvesting via nepwebsites
  • De gebruiker zelf de toestemming verleent

Na succesvolle authenticatie beschikt de aanvaller over toegang tot het account, vaak zonder dat dit direct als verdacht wordt aangemerkt door security tooling. In sommige gevallen is in de sessiedetails zichtbaar dat de authenticatie plaatsvindt vanaf een device of locatie in het buitenland, dit is lang niet altijd het geval.

Hoe de device code phishing flow in elkaar zit.
Hoe de device code phishing flow in elkaar zit.

Waarom is deze aanval zo lastig te detecteren?

Device code phishing omzeilt veel traditionele beveiligingsmechanismen doordat:

  • Er geen kwaadaardige URL’s worden gebruikt
  • De inlogpagina volledig legitiem is (Microsoft)
  • De e-mail afkomstig lijkt van een betrouwbare bron
  • De gebruiker zelf de actie uitvoert en toestemming geeft

Hierdoor valt de aanval minder snel op binnen standaard e-mailfilters, endpoint beveiliging of identity protection-oplossingen.

Mitigatie: wat kun je ertegen doen?

Er zijn meerdere effectieve maatregelen om het risico van device code phishing aanzienlijk te verkleinen.

1. Conditional Access beleid

Binnen Microsoft Entra ID (Azure AD) is het mogelijk om authenticatie via device codes te blokkeren met behulp van een Conditional Access Policy. Door deze vorm van authenticatie uit te schakelen:

  • Wordt voorkomen dat gebruikers via een externe device code sessie kunnen inloggen

  • Wordt een belangrijk aanvalspad volledig afgesloten

Belangrijke kanttekening:

In sommige gevallen is device code authenticatie legitiem gebruik, bijvoorbeeld door ontwikkelaars die via CLI-tools of scripts werken of apparaten die worden gebruikt voor Audio/Video.

Aanbevolen aanpak:

  • Inventariseer intern gebruik van device code flow
  • Blokkeer deze standaard voor alle gebruikers
  • Definieer uitzonderingen uitsluitend voor specifieke accounts of rollen

HOB ICT Security ondersteunt organisaties actief bij het implementeren en afstemmen van deze policies.

2. HOB Anti Phishing & ClickFix Browserextensie

Naast technische restricties speelt gebruikersbewustzijn een cruciale rol. Hiervoor heeft HOB ICT Security een eigen browserextensie ontwikkeld die gericht is op het detecteren en mitigeren van phishinggedrag.

Voor device code phishing biedt deze extensie onder andere:

  • Detectie van Microsoft device code loginpagina’s
  • Waarschuwingen wanneer een gebruiker een device probeert te autoriseren
  • Interactieve meldingen die de gebruiker bewust maken van het risico Voordat een gebruiker verder kan gaan, moet deze expliciet de waarschuwing bevestigen. Dit zorgt voor een extra controlemoment en verkleint de kans op succesvolle social engineering. De extensie is beschikbaar voor alle klanten van HOB ICT Security en de meldingen worden doorgezet ter controle naar HOB ICT Security.
De waarschuwing vanuit de HOB browserextensie.
De waarschuwing vanuit de HOB browserextensie.

Wat heeft HOB ICT Security al geïmplementeerd?

HOB ICT Security heeft meerdere maatregelen genomen om klanten te beschermen tegen deze aanvalsvorm:

  • Baseline beveiliging: In de standaard security baseline is opgenomen dat device code authenticatie wordt geblokkeerd.
  • Proactieve implementatie: Klanten worden actief benaderd om deze Conditional Access Policy te implementeren en correct af te stemmen.
  • Browserextensie uitrol: Al bij diverse klanten is de Anti Phishing & ClickFix extensie succesvol geïmplementeerd.
  • Monitoring en detectie: Er wordt actief gemonitord op afwijkende logins, waaronder authenticaties via device code flows. Verdachte activiteiten worden direct onderzocht en opgevolgd.

Conclusie

Device code phishing is een geavanceerde en groeiende dreiging die inspeelt op legitieme authenticatieprocessen. Juist doordat de aanval gebruikmaakt van vertrouwde platformen en gebruikersinteractie, is detectie complexer dan bij traditionele phishing.

Een effectieve verdediging vereist daarom een combinatie van:

  • Technische maatregelen (zoals Conditional Access)
  • Gebruikersbewustzijn
  • Aanvullende tooling en monitoring Door deze componenten samen toe te passen, kunnen organisaties zich aanzienlijk beter beschermen tegen dit type aanval.

Ondersteuning nodig?

Wil je meer weten over device code phishing of ondersteuning bij het implementeren van de juiste maatregelen? Neem dan contact op!

Oplossingen

Meteen aan de slag.

Minimaliseer de impact van cyberaanvallen door 24/7 security monitoring en bewaking.

Security op maat.

Afgestemd op jouw unieke situatie, omdat wij begrijpen dat security geen 'one size fits all'-benadering is.

Gehackt? Bel direct!

Gaat het toch mis? Bel ons, zodat we de schade snel kunnen beperken.

Tarieven

Kies een passende oplossing.

Alle klantverhalen

Lees over onze partnerships.

Alle oplossingen

Wij beveiligen jou op maat.