Device code phishing treft steeds vaker Microsoft 365

Phishing verlegt focus naar vertrouwde loginprocessen

Volgens onderzoek van Proofpoint verandert het dreigingslandschap snel. In plaats van het stelen van gebruikersnamen en wachtwoorden richten aanvallers zich steeds vaker op het misbruiken van vertrouwde authenticatiestromen. OAuth-authenticatie speelt hierin een centrale rol. Met deze methode kan een gebruiker een account koppelen via een aparte verificatiestap, zonder direct een wachtwoord in te voeren.

Dat past in een bredere trend waarbij aanvallers profiteren van zwakheden in cloudtoegang. Zo liet WinmagPro eerder zien hoe een Microsoft OAuth-zwakte zorgt voor MFA-phishing, waarbij traditionele beveiligingslagen worden omzeild zonder dat gebruikers dit direct merken.

Zo verloopt device code phishing

In de door Proofpoint geanalyseerde campagnes start de aanval meestal met een e-mail of chatbericht dat een link, knop of QR-code bevat. Na het openen daarvan wordt het officiële autorisatieproces gestart op basis van de OAuth 2.0 device code autorisatie. De gebruiker krijgt een device code te zien, die direct op een landingspagina verschijnt of via een vervolgbericht wordt toegestuurd.

Aanvallers presenteren deze code vaak als een noodzakelijke verificatiestap. De gebruiker wordt vervolgens gevraagd de code in te voeren op een officiële Microsoft-verificatiepagina. Zodra dat gebeurt, valideert Microsoft de oorspronkelijke autorisatie-aanvraag en ontvangt de aanvaller een toegangstoken. Daarmee krijgt deze directe en volledige toegang tot het Microsoft 365-account.

Dreigingsclusters en gespecialiseerde phishingtools

Proofpoint volgt meerdere dreigingsclusters die device code phishing actief toepassen. Daaronder bevinden zich zowel staatsgelieerde actoren als financieel gemotiveerde groepen. Bekende dreigingsactoren passen deze methode inmiddels op grotere schaal toe, mede dankzij gespecialiseerde tooling.

Het misbruik van OAuth blijft daarbij niet beperkt tot deze aanvalsvorm. Eerder werd al duidelijk hoe structureel het probleem is in het artikel Misbruik van OAuth-applicaties: hoe blijf je veilig?. Daarin wordt beschreven hoe kwaadwillenden via geautoriseerde applicaties langdurige toegang kunnen behouden tot cloudomgevingen.

Van gerichte aanvallen naar massale campagnes

Hoewel device code phishing geen nieuwe techniek is, valt vooral de snelheid van adoptie op. Proofpoint zag deze methode eerder vooral terug in red team-oefeningen en gerichte aanvallen. Sinds september 2025 is er sprake van grootschalige campagnes, wat wijst op een structurele verschuiving.

Die ontwikkeling sluit aan bij bredere phishingtrends. Zo bleek eerder al dat merkimitatie-phishing piekt, met Microsoft als koploper, wat verklaart waarom Microsoft 365-omgevingen zo’n aantrekkelijk doelwit blijven.

Implicaties voor organisaties

De bevindingen maken duidelijk dat traditionele beveiligingsmaatregelen niet altijd volstaan. Omdat device code phishing gebruikmaakt van legitieme Microsoft-processen, is detectie lastig en slaan waarschuwingen minder snel aan bij gebruikers.

Proofpoint adviseert organisaties om het beheer van OAuth-applicaties en autorisaties aan te scherpen. Het beperken van welke applicaties toegang mogen krijgen tot Microsoft 365-omgevingen is daarbij essentieel. Daarnaast blijft gebruikersbewustzijn een cruciale verdedigingslaag. Securitytrainingen moeten expliciet aandacht besteden aan nieuwe vormen van social engineering, waaronder phishing via QR-codes en device codes.

Met de verdere invoering van FIDO-conforme multi-factor authenticatie verwachten onderzoekers dat aanvallers blijven zoeken naar alternatieve aanvalsroutes. Het misbruik van OAuth-authenticatie zal daardoor naar verwachting verder toenemen.