FBI waarschuwt voor 'device code phishing' tegen Microsoft 365-accounts

In dit artikel:

De FBI waarschuwt Microsoft 365-gebruikers en organisaties voor een groeiende vorm van phishing waarbij aanvallers misbruik maken van Microsofts device code authentication. Die methode is bedoeld voor apparaten met beperkte invoer (smart-tv’s, IoT-apparaten, printers): Microsoft genereert een aparte code die een gebruiker invoert op een (anders) verbonden apparaat om een toegangstoken te krijgen. Bij de kwaadwillende variant laten aanvallers zelf zo’n device code genereren en sturen die, samen met een link naar de echte Microsoft-inlogpagina, in een phishingmail naar het slachtoffer. Wanneer het slachtoffer de code invoert op de officiële site, geeft Microsoft een token af aan het apparaat dat de code had opgevraagd; de aanvallers gebruiken dat token vervolgens om in te loggen op het Microsoft-account zonder wachtwoord of aanvullende MFA-challenges.

De FBI noemt specifiek het Phishing-as-a-Service-platform Kali365 als hulpmiddel dat deze aanvallen faciliteert. Als tegenmaatregel raadt de opsporingsdienst organisaties aan de device code flow te beperken voor alle gebruikers. Daarnaast zijn praktische vervolgstappen: toegangstokens en ongebruikelijke aanmeldingen monitoren, toepassingsmachtigingen intrekken en waar mogelijk conditional access- of beleidinstellingen toepassen om deze vectortype te blokkeren.