Device code phishing-aanval: een ongeluk zit in een klein hoekje

donderdag, 2 juli 2026 (12:40) - Techzine

In dit artikel:

Device code phishing is een steeds aantrekkelijkere aanvalsvorm voor cybercriminelen die Microsoft-accounts willen overnemen zonder zelf een nepwebsite of complexe tussenstap op te zetten. De aanval maakt misbruik van de legitieme OAuth device code flow, een inlogmethode die oorspronkelijk bedoeld is voor apparaten zonder browser, zoals smart-tv’s of IoT-apparaten.

De kern van de truc is eenvoudig: een aanvaller genereert zelf een device code bij Microsoft en stuurt die door naar een slachtoffer. Dat slachtoffer wordt vervolgens misleid om die code in te voeren op een echte Microsoft-inlogpagina, waarna de aanvaller een geldig access token en meestal ook een refresh token ontvangt. Daarmee kan hij direct bij bedrijfsresources, en later opnieuw inloggen zonder wachtwoord of MFA zolang de tokens geldig zijn.

Het artikel legt ook uit waarom deze methode gevaarlijker en laagdrempeliger is dan een traditionele Adversary-in-the-Middle-aanval. Bij zo’n AitM-aanval moet een aanvaller een nagemaakte inlogpagina en onderscheppingsinfrastructuur bouwen; bij device code phishing volstaat het genereren van een code en wachten tot het slachtoffer de procedure afrondt. Juist doordat er gebruik wordt gemaakt van een echte Microsoft-functie, is er geen eigen technische infrastructuur nodig.

Om misbruik te beperken, adviseert de auteur een gelaagde verdediging. Belangrijke maatregelen zijn het uitschakelen van de device code flow via conditional access, het inzetten van Continuous Access Evaluation zodat gestolen tokens sneller ongeldig worden, het aanscherpen van toegang op basis van apparaat en locatie, en het verkorten van de tokenlevensduur. Na een incident moeten tokens worden ingetrokken en kan het nodig zijn accounts tijdelijk te blokkeren om hernieuwde toegang te voorkomen.

BEKIJK OOK:

De Oranjezomer: Leontien van Moorsel uit zorgen over Tour de France: 'Dit is niet verantwoord'