Devicecode-phishing is de nieuwe frontlinie voor phishing: Barracuda detecteert 7 miljoen aanvallen in vier weken

Nieuw onderzoek van Barracuda biedt inzicht in hoe aanvallers misbruik maken van authenticatie via devicecodes om blijvend toegang te verkrijgen tot diensten zoals Microsoft 365 en Entra ID. Deze aanvallen nemen snel toe nu devicecode-phishing op grote schaal wordt toegepast via phishing-as-a-service-tools, zoals de onlangs gemelde EvilTokens-kit. Barracuda heeft de afgelopen vier weken 7 miljoen aanvallen met devicecode-phishing gedetecteerd.  

Bij authenticatie via devicecodes kunnen gebruikers zich op het ene device aanmelden door een korte code in te voeren op een ander, vertrouwd device. Dit wordt vaak gebruikt op toestellen met beperkte interfaces, zoals tv’s, printers of bij tools met een command line interface (CLI). Devicecode-phishing is een techniek waarbij aanvallers gebruikers misleiden om een legitieme aanmeldcode in te voeren op een echte inlogpagina, waardoor ze onbedoeld het device van de aanvaller autoriseren in plaats van hun eigen toestel of apparaat. 

De aanval verloopt als volgt: de aanvallers vragen een echte devicecode aan bij Microsoft en sturen slachtoffers vervolgens een phishing-bericht dat hen overhaalt de code in te voeren op een legitieme inlogpagina, zoals ‘microsoft.com/devicelogin’. Het slachtoffer voltooit de authenticatie en Microsoft geeft daarop het OAuth-toegangstoken en vernieuwingstoken af, die rechtstreeks naar de aanvaller gaan. 

Phishing via devicecodes biedt aanvallers diverse voordelen ten opzichte van traditionele phishing met inloggegevens via valse inlogpagina’s. Bijvoorbeeld: 

• Het maakt gebruik van legitieme links, geen verdachte URL's: traditionele phishing vereist een overtuigende valse website, die gemakkelijk door e-mailfilters kan worden opgemerkt. Phishing met devicecodes maakt gebruik van officiële authenticatie-URL's, waardoor het moeilijk is om activiteiten van aanvallers te identificeren.
• Het omzeilt multi-factor authenticatie en eventuele beleidsregels voor voorwaardelijke toegang: omdat het slachtoffer het nieuwe device zelf autoriseert, verkrijgen de aanvallers een geldig toegangstoken dat deze securitychecks doorstaat.
• Langdurige toegang: zodra het slachtoffer de code invoert, ontvangt de aanvaller een token waarmee hij dagen of weken toegang tot het account van de gebruiker kan behouden, zelfs als de gebruiker zijn wachtwoord wijzigt.
• Het maakt gebruik van het vertrouwen: mensen zijn gewend om een code van 6 tot 8 tekens in te voeren om hun devices te koppelen.
• Minder opvallend lateraal bewegen: de aanvaller kan een sessie stilletjes kapen zonder alarm te slaan. 

Bij succesvolle phishing via devicecodes kunnen aanvallers langdurige toegang krijgen tot cloud e-mail- en identity-omgevingen zonder wachtwoorden te stelen of traditionele securitywaarschuwingen te activeren. 

“Phishing via devicecodes is geïndustrialiseerd als onderdeel van een PhaaS-model, waardoor het een gevaarlijke en schaalbare dreiging is geworden,” zegt Saravanan Mohankumar, Manager in het Threat Analysis Team bij Barracuda. “Securitymaatregelen moeten snel aangepast worden. Gelaagde securitymaatregelen, zoals geavanceerde e-mailfiltering, mechanismen voor identiteitsbescherming en continue monitoring, kunnen het risico aanzienlijk beperken. Daarnaast kan het afdwingen van strikte checks rond autorisatiestromen van devices en het vergroten van het bewustzijn over het invoeren van verificatiecodes helpen voorkomen dat dergelijke aanvallen slagen.”

Meer informatie is hier te vinden: https://blog.barracuda.com/2026/04/23/threat-spotlight-device-code-phishing.