Cybercriminelen hebben een nieuwe methode gevonden om beveiligingsmaatregelen te omzeilen en langdurige toegang tot accounts te verkrijgen. Uit recent onderzoek van Barracuda blijkt dat zogeheten devicecode-phishing in een razend tempo terrein wint. In slechts vier weken tijd detecteerde het beveiligingsbedrijf maar liefst zeven miljoen aanvallen.
De techniek maakt misbruik van een legitieme manier van inloggen die onder meer wordt gebruikt bij diensten als Microsoft 365 en Microsoft Entra ID. Daarbij voeren gebruikers een korte code in op een vertrouwd apparaat om toegang te krijgen op een ander device, zoals een televisie, printer of command line-interface. Juist dat vertrouwen vormt nu de zwakke schakel.
Devicecode-phishing
Bij devicecode-phishing vragen aanvallers zelf een geldige inlogcode aan via Microsoft en sturen die vervolgens naar slachtoffers, vaak verpakt in een overtuigend phishingbericht. De gebruiker wordt verleid de code in te voeren op een echte, legitieme inlogpagina. Zonder het te beseffen autoriseert het slachtoffer daarmee niet zijn eigen apparaat, maar dat van de aanvaller.
Zodra de authenticatie is voltooid, ontvangt de aanvaller een zogenoemd OAuth-toegangstoken en een vernieuwingstoken. Daarmee kan hij dagen of zelfs weken toegang houden tot het account, zelfs als het wachtwoord in de tussentijd wordt gewijzigd. Volgens onderzoekers maakt deze aanpak het mogelijk om traditionele beveiligingslagen, zoals multi-factor authenticatie, effectief te omzeilen.
Phishing-as-a-service
De populariteit van deze methode groeit mede door de opkomst van phishing-as-a-service. Tools zoals EvilTokens maken het voor cybercriminelen eenvoudiger om aanvallen op grote schaal uit te voeren. Daarbij hoeven ze geen valse websites meer te bouwen, omdat gebruik wordt gemaakt van officiële inlogpagina’s. Dit maakt detectie door e-mailfilters aanzienlijk lastiger.
Daarnaast speelt menselijk gedrag een belangrijke rol. Gebruikers zijn gewend om korte verificatiecodes in te voeren om apparaten te koppelen. Aanvallers spelen handig in op dit automatisme, waardoor slachtoffers minder snel argwaan krijgen.
Schaalbare dreiging
Volgens Saravanan Mohankumar, werkzaam bij Barracuda, is devicecode-phishing inmiddels “geïndustrialiseerd” en vormt het een schaalbare dreiging. Hij benadrukt dat organisaties hun beveiligingsstrategie moeten aanpassen. Denk aan geavanceerde e-mailfiltering, betere identiteitsbescherming en continue monitoring van verdachte activiteiten.
Ook strengere controles op apparaat-autorisaties en meer bewustwording bij gebruikers zijn essentieel om deze vorm van phishing tegen te gaan. Zonder aanvullende maatregelen dreigt devicecode-phishing uit te groeien tot een van de meest effectieve aanvalstechnieken binnen cloudomgevingen.