Toegang goedgekeurd: phishing met device code autorisatie voor accountovernames

Social engineering is een tactiek die door dreigingsactoren wordt gebruikt om gebruikers zelf actie te laten ondernemen. Deze actoren laten gebruikers bijvoorbeeld een applicatie op hun systeem toevoegen of betrouwbare informatie delen. Technieken zoals ClickFix laten zien hoe dreigingsactoren problemen met security als thema inzetten om gebruikers te misleiden actie te ondernemen. Hierbij gebruiken zij legitieme tools en services om ongeautoriseerde toegang te krijgen. Device code phishing is een andere manier waarop dreigingsactoren bedrijfsmiddelen misbruiken voor accountovernames.

Onderzoekers van Proofpoint hebben meerdere dreigingsclusters geobserveerd die device code phishing gebruiken. Hierdoor geven gebruikers onbewust toegang aan dreigingsactoren tot hun Microsoft 365-account. Over het algemeen zet een aanvaller social engineering-technieken in om in te loggen in een applicatie met legitieme inloggegevens. De app genereert vervolgens een token die de dreigingsactor ontvangt. Daarna heeft de dreigingsactor controle over het M365-account.

Proofpoint nam eerder gerichte, kwaadaardige en gelimiteerde red team-activiteiten waar, die gebruik maken van device code phishing. Vanaf september 2025 ziet het bedrijf een brede inzet van dit soort aanvallen in campagnes, iets wat zeer ongebruikelijk is.

Bij recent waargenomen activiteiten beginnen campagnes met een eerste bericht met een geïmplementeerde URL in een knop, een gehyperlinkte tekst of in een QR-code. Zodra een gebruiker de URL bezoekt, wordt de aanval gestart. Deze gebruikt het autorisatieproces voor Microsoft-apparaten. Zodra deze wordt ingezet, ontvangt de gebruiker een device code. Die wordt direct gepresenteerd op de landingspagina of ontvangen in een tweede e-mail van de dreigingsactor. Dit soort lokazen beweren vaak dat de device code een OTP (One Time Password) is en verwijzen de gebruiker om deze code in te voeren bij de verificatie-URL van Microsoft. Zodra de gebruiker de code invoert, wordt de oorspronkelijke token gevalideerd, waardoor de dreigingsactor toegang krijgt tot het M365-account.

In geobserveerde campagnes beweren sommige berichten dat het gaat om de herautorisatie van tokens. Andere berichten gebruiken lokazen om de gebruiker op een link te laten klikken. Deze leidt naar een aanvalsketen die eindigt in autorisatie van de app.

Hoewel dit geen nieuwe techniek is, is het merkwaardig dat meerdere dreigingsclusters deze tactiek inzetten. Ook bekende dreigingsactor TA2723 behoort tot deze groep. Onderzoekers bij Proofpoint hebben een kwaadaardige applicatie geïdentificeerd. Deze wordt verkocht op hacking forums en kunnen worden gebruikt voor dit soort campagnes. Daarbij zijn ook red team-tools beschikbaar zoals Squarephish, SquarephishV2 en Graphish. Ook deze kunnen worden gebruikt voor dit soort aanvallen. Deze tools helpen dreigingsactoren met het omzeilen van de korte duur van device codes. Hierdoor zijn campagnes op grotere schaal dan voorheen mogelijk.

Bevindingen

• Snelle adoptie door dreigingsclusters: staatsgesponsorde en financieel gemotiveerde actoren zetten nu grootschalig device code phishing campagnes in.
• Legitieme flow met kwaadaardige intenties: URL’s en QR-codes leiden slachtoffers naar het loginproces van Microsoft, wat aanvallen erg overtuigend maken.
• Tools helpen bij opschalen: kits zoals SquarePhishV2 en Graphish automatiseren en breiden device code phishing uit, waardoor de technische barrière voor aanvallers laag ligt.
• Uitkomst met veel impact: succesvolle aanvallen leiden tot volledige toegang tot M365-accounts. Datadiefstal, laterale bewegingen en blijvende gecompromitteerde toegang behoren tot de resultaten.

Van het gebruik van kwaadaardige OAuth-applicaties voor blijvende toegang tot het misbruik van legitieme autorisatie van Microsoft via device codes, de tactieken van dreigingsactoren voor succesvolle accountovernames evolueren snel in het dreigingslandschap. Deze campagnes maken veel gebruik van social engineering. Hierbij worden lokazen met geïmplementeerde URL’s of QR-codes gebruikt om gebruikers te laten denken dat ze hun accounts veiligstellen. Proofpoint volgt meerdere dreigingsclusters die deze device code authenticatietechniek gebruiken. Het bedrijf raadt organisaties aan om de controle over OAuth te versterken. Ook het bewustzijn en de opleiding van gebruikers over deze evoluerende dreigingen verbeteren is van groot belang. Proofpoint verwacht dat het misbruik van OAuth-authenticatie blijft toenemen met de invoering van FIDO-conforme MFA-controles.

Klik hier voor het volledige onderzoek.