Devicecode-phishing is de nieuwe frontlinie voor phishing: Barracuda detecteert 7 miljoen aanvallen in vier weken

Nieuw onderzoek van Barracuda biedt inzicht in hoe aanval­lers misbruik maken van authen­ti­catie via devi­ce­codes om blijvend toegang te verkrijgen tot diensten zoals Microsoft 365 en Entra ID. Deze aanvallen nemen snel toe nu devi­ce­code-phishing op grote schaal wordt toegepast via phishing-as-a-service-tools, zoals de onlangs gemelde Evil­To­kens-kit. Barracuda heeft de afgelopen vier weken 7 miljoen aanvallen met devi­ce­code-phishing gedetecteerd.

Bij authen­ti­catie via devi­ce­codes kunnen gebrui­kers zich op het ene device aanmelden door een korte code in te voeren op een ander, vertrouwd device. Dit wordt vaak gebruikt op toestellen met beperkte inter­faces, zoals tv’s, printers of bij tools met een command line interface (CLI). Devi­ce­code-phishing is een techniek waarbij aanval­lers gebrui­kers misleiden om een legitieme aanmeld­code in te voeren op een echte inlog­pa­gina, waardoor ze onbedoeld het device van de aanvaller auto­ri­seren in plaats van hun eigen toestel of apparaat.

De aanval verloopt als volgt: de aanval­lers vragen een echte devi­ce­code aan bij Microsoft en sturen slacht­of­fers vervol­gens een phishing-bericht dat hen overhaalt de code in te voeren op een legitieme inlog­pa­gina, zoals ‘microsoft​.com/​d​e​v​i​c​e​l​ogin’. Het slacht­offer voltooit de authen­ti­catie en Microsoft geeft daarop het OAuth-toegang­stoken en vernieu­wing­stoken af, die recht­streeks naar de aanvaller gaan.

Phishing via devi­ce­codes biedt aanval­lers diverse voordelen ten opzichte van tradi­ti­o­nele phishing met inlog­ge­ge­vens via valse inlogpagina’s. Bijvoorbeeld:

• Het maakt gebruik van legitieme links, geen verdachte URL’s: tradi­ti­o­nele phishing vereist een over­tui­gende valse website, die gemak­ke­lijk door e‑mailfilters kan worden opgemerkt. Phishing met devi­ce­codes maakt gebruik van officiële authen­ti­catie-URL’s, waardoor het moeilijk is om acti­vi­teiten van aanval­lers te identificeren.
• Het omzeilt multi-factor authen­ti­catie en eventuele beleids­re­gels voor voor­waar­de­lijke toegang: omdat het slacht­offer het nieuwe device zelf auto­ri­seert, verkrijgen de aanval­lers een geldig toegang­stoken dat deze secu­ri­ty­checks doorstaat.
• Lang­du­rige toegang: zodra het slacht­offer de code invoert, ontvangt de aanvaller een token waarmee hij dagen of weken toegang tot het account van de gebruiker kan behouden, zelfs als de gebruiker zijn wacht­woord wijzigt.
• Het maakt gebruik van het vertrouwen: mensen zijn gewend om een code van 6 tot 8 tekens in te voeren om hun devices te koppelen.
• Minder opvallend lateraal bewegen: de aanvaller kan een sessie stil­le­tjes kapen zonder alarm te slaan.

Bij succes­volle phishing via devi­ce­codes kunnen aanval­lers lang­du­rige toegang krijgen tot cloud e‑mail- en identity-omge­vingen zonder wacht­woorden te stelen of tradi­ti­o­nele secu­ri­ty­waar­schu­wingen te activeren.

“Phishing via devi­ce­codes is geïn­du­stri­a­li­seerd als onderdeel van een PhaaS-model, waardoor het een gevaar­lijke en schaal­bare dreiging is geworden,” zegt Saravanan Mohan­kumar, Manager in het Threat Analysis Team bij Barracuda. “Secu­ri­ty­maat­re­gelen moeten snel aangepast worden. Gelaagde secu­ri­ty­maat­re­gelen, zoals geavan­ceerde e‑mailfiltering, mecha­nismen voor iden­ti­teits­be­scher­ming en continue moni­to­ring, kunnen het risico aanzien­lijk beperken. Daarnaast kan het afdwingen van strikte checks rond auto­ri­sa­tie­stromen van devices en het vergroten van het bewust­zijn over het invoeren van veri­fi­ca­tie­codes helpen voorkomen dat derge­lijke aanvallen slagen.”

Meer infor­matie is hier te vinden: https://​blog​.barracuda​.com/​2​0​2​6​/​0​4​/​2​3​/​t​h​r​e​a​t​-​s​p​o​t​l​i​g​h​t​-​d​e​v​i​c​e​-​c​o​d​e​-​p​h​i​s​hing.