Cybercriminelen hebben
hun arsenaal uitgebreid met technieken als device code- en OAuth
phishing. Phishing gericht op inloggegevens blijft een effectieve
methode die verschillende misdrijven mogelijk maakt, van
accountovernames (ATO) en fraude tot ransomware en spionage. Toch
kunnen organisaties zich steeds beter verdedigen tegen veelvoorkomende
phishingtechnieken, zoals phishing gericht op multifactor authenticatie
(MFA). In combinatie met door Large Language Models (LLM’s)
gegenereerde tools en social engineering kunnen criminelen dergelijke
technieken gebruiken om op grote schaal meer mensen te benaderen met
nieuwe social-engineeringtrucs. Deze trend is opgemerkt door Proofpoint
in een nieuw onderzoek.
Van 2020 tot 2022
maakten red teams, maar soms ook criminelen en spionageactoren, gebruik
van de ‘device code’-phishingtechniek om mensen te verleiden een
kwaadaardige app toegang te verlenen tot hun zakelijke e-mailaccounts.
De publicatie van criminele phishingtools voor apparaatcode in het
najaar van 2025, in combinatie met nieuwe innovaties in aanvalsketens
die werden versterkt door ‘vibe coding’-bronnen, veranderden de
techniek in een vrijbrief voor massale phishingaanvallen.
Dreigingsactoren maken
misbruik van de OAuth 2.0-autorisatieprocedure voor apparaten
om Microsoft 365- of andere zakelijke gebruikersaccounts te
compromitteren. Dit doen zij door toegang te verlenen aan door hen
beheerde applicaties. Hoewel de meeste device
code phishingcampagnes gericht zijn op Microsoft-accounts,
heeft Proofpoint ook campagnes voor Google waargenomen, zij
het in aanzienlijk kleinere aantallen.
Device code
phishingcampagnes maken vaak gebruik van 'account takeover (ATO)
jumping'. Dit is een techniek waarbij een aanvaller eerst een
e-mailaccount buitmaakt en deze vervolgens gebruikt om phishinglinks
naar een groot aantal contacten te sturen. In de waargenomen
activiteiten beginnen campagnes met een eerste bericht waarin een URL
op verschillende manieren wordt aangeboden, bijvoorbeeld verwerkt in
een knop, als hyperlink, opgenomen in een document of in een QR-code.
Wanneer een gebruiker de URL bezoekt, wordt een aanvalsreeks gestart
die gebruikmaakt van het legitieme autorisatieproces voor
Microsoft-apparaten. De huidige wereld van device codes kent een
belangrijk verschil dat de populariteit ten opzichte van de
oorspronkelijke implementaties heeft vergroot: het genereren van code
op verzoek.
Vroeger genereerden
cybercriminelen een code en stuurden die rechtstreeks naar de
ontvangers, waarbij ze zeiden dat ze de code zo snel mogelijk moesten
invoeren omdat deze na vijftien minuten zou verlopen. Als een
slachtoffer de e-mail niet zag, of besloot te wachten met het klikken
op kwaadaardige URL’s, zou de code verlopen en had de cybercrimineel
pech. De huidige versies pakken de beperkingen van deze vervaltermijn
van vijftien minuten aan. Bij de meeste huidige device
code phishingaanvallen wordt de code dynamisch gegenereerd
wanneer een gebruiker op de eerste phishinglink klikt. Door
deze ogenschijnlijk kleine verandering kan de gebruiker de e-mail op
elk moment bekijken om de aanvalsketen in gang te zetten. Deze nieuwe
implementaties van device code aanvalsketens kunnen worden aangeschaft
via phishing-as-a-service (PhaaS)-aanbiedingen,
zoals EvilTokens of Tycoon. Ook worden deze gemaakt en
beheerd door de cybercrimineel die de campagnes
uitvoert.
Succesvolle device
code phishingaanvallen kunnen leiden tot volledige overname
van accounts, diefstal van gevoelige informatie, fraude en misbruik van
zakelijke e-mail. Ook kunnen ze zorgen voor laterale bewegingen
binnen een gecompromitteerde omgeving en zelfs verstorende aanvallen
zoals ransomware.
Dit zijn de
belangrijkste bevindingen van het onderzoek:
- Device code phishing
wordt steeds groter in het dreigingslandschap, waarin elke week
nieuwe phishingtools opduiken.
- De sterke toename in
device code phishing valt samen met de algemene
beschikbaarheid van criminele toolkits en de opkomst van
diverse ‘phishing-as-a-service’
(PhaaS)-diensten.
- Bij het merendeel van
de vastgestelde activiteiten wordt gebruikgemaakt van 'vibe-coded'
technieken. Het is onduidelijk of de meeste aanvallers openbaar
beschikbare tools kopiëren en aanpassen, of dat ze vergelijkbare
prompts gebruiken om vrijwel identieke aanvalsstromen in hun
geheel te genereren.
- Ongeacht hoe de tool is
gemaakt en welke device code de dreigingsactoren gebruiken, de
verdedigingsstrategie blijft hetzelfde.
- De opkomst van device
code phishing is een logisch vervolg op phishing gericht op
inloggegevens. Nu steeds meer mensen op de hoogte zijn van
methoden om meervoudige authenticatie te omzeilen, moeten
criminelen creatief worden.
Verdediging tegen
device code phishing blijft hetzelfde, ongeacht de kit of de manier van
inzet:
- Blokkeer de device codestroom waar mogelijk: De meest effectieve
beveiligingsmaatregel is het opstellen van voorwaardelijke toegang
met behulp van ‘Authentication Flows’. Zo wordt de
apparaatcodestroom voor alle gebruikers geblokkeerd.?Beleidsregels
voor voorwaardelijke toegang kunnen eerst worden geïmplementeerd
in een rapportmodus, of door de ‘beleidseffecten’ te bekijken aan
de hand van aanmeldingslogboeken, om zo de impact op een omgeving
te bepalen.?Als het niet haalbaar is om de device codestroom
volledig te blokkeren, kan voorwaardelijke toegang worden gebruikt
om een whitelist-benadering op te zetten op basis van toegestane
gebruiksscenario’s. Zo kan de authenticatie via apparaatcodes
alleen worden ingeschakeld voor goedgekeurde gebruikers,
besturingssystemen of IP-bereiken, bijvoorbeeld door gebruik te
maken van ‘Named Locations’.?
- Vereis compatibele of gekoppelde apparaten: Als organisaties
gebruikmaken van apparaatregistratie of Intune, bieden
beleidsregels voor voorwaardelijke toegang bescherming tegen
phishing via apparaatcodes. Hierbij wordt vereist dat aanmeldingen
plaatsvinden vanaf een compatibel of geregistreerd apparaat. Dit
moet worden ingezet als onderdeel van een strategie voor gelaagde
beveiliging, aangezien er waarschijnlijk uitzonderingen op deze
vereiste zullen zijn, in vergelijking met een specifiek beleid
voor de verwerking van device codes.??
- Vergroot het bewustzijn van gebruikers met betrekking
tot phishingaanvallen waarbij device codes worden
misbruikt:
Bij traditionele voorlichting over phishing ligt de nadruk vaak op
het controleren van de legitimiteit van URL’s. Deze aanpak biedt
echter geen effectieve bescherming tegen device code phishing,
waarbij gebruikers worden gevraagd een apparaatcode in te voeren
op het vertrouwde Microsoft-portaal. In trainingen voor gebruikers
moet worden benadrukt dat ze geen apparaatcodes mogen invoeren die
afkomstig zijn van onbetrouwbare bronnen.