Device code phishing omzeilt MFA volledig

In een tijdperk van geavanceerde identiteitsaanvallen richten veel organisaties zich op phishingbewustzijn — maar missen ze een van de gevaarlijkste en snelst groeiende technieken: device code phishing. Anders dan traditionele phishing vereist deze aanval geen neppagina. Het slachtoffer logt in op een legitieme website — en wordt toch gecompromitteerd. En in 2025 en 2026 is deze techniek uitgegroeid van een nichedreiging tot een mainstream wapen.

⚡ Belangrijkste conclusie Device code phishing omzeilt MFA volledig. De aanvaller steelt geen inloggegevens — hij manipuleert jou zodat je zelf een geldig toegangstoken overhandigt. En dankzij AI-gestuurde automatisering gebeurt dit nu op industriële schaal.

De Dreiging Is Niet Langer Theoretisch Dit is geen toekomstig risico. Het gebeurt nu — en het versnelt.

Wat vroeger beperkt was tot kleinschalige red-team oefeningen, werd wijdverbreid tegen september 2025. Meerdere dreigingsgroepen — waaronder groepen gelieerd aan Rusland en China — hebben aanvallen via device code phishing op Microsoft 365-gebruikers opgevoerd.

Meest recent identificeerde Microsoft een nieuwe AI-gestuurde campagne met EvilTokens, een phishing-as-a-service toolkit die automatisering en dynamische codegeneratie gebruikt om het standaard 15-minuten verloopvenster van device codes te omzeilen — een significante escalatie in verfijning ten opzichte van de Storm-2372-campagne van begin 2025.

Het Probleem: De Vertrouwde Flow als Wapen De device code flow is ontworpen voor een legitiem doel: apparaten zonder browser — zoals smart-tv’s of printers — laten authenticeren via een apart apparaat. Aanvallers hebben dit omgebouwd tot een aanvalswapen.

De aanval werkt als volgt:

  • De aanvaller start een device code aanvraag bij Microsoft of Google
  • Het slachtoffer ontvangt een Teams-bericht — vaak van een gecompromitteerd collega- of extern account
  • Het bericht ziet er legitiem uit: “Kun je even de toegang bevestigen?” of “Log in om het document te bekijken”
  • Het slachtoffer wordt doorverwezen naar microsoft.com/devicelogin — een echte Microsoft-pagina
  • Het slachtoffer logt in en voltooit MFA zoals normaal
  • De aanvaller ontvangt in ruil een geldig toegangstoken
  • De aanvaller is nu geauthenticeerd als het slachtoffer — zonder ooit het wachtwoord te kennen

De login is echt. De pagina is echt. De schade is echt.

Cruciaal: de tokens blijven geldig zelfs nadat het wachtwoord van het account is gereset — een simpele wachtwoordwijziging is dus niet voldoende om de aanvaller te stoppen.

Het Probleem: Microsoft Teams als Aanvalsvector Teams-berichten voelen vertrouwder aan dan e-mail. Medewerkers zijn gewend om via Teams samenwerkingsverzoeken te ontvangen — wat het een ideaal kanaal maakt voor social engineering.

Storm-2372, een groep die Microsoft met redelijke zekerheid linkt aan Russische belangen, heeft slachtoffers benaderd via berichtendiensten waaronder WhatsApp, Signal en Microsoft Teams, waarbij ze zich voordeden als vertrouwde contacten — actief sinds augustus 2024.

In november 2025 ontdekte Microsofts Detection and Response Team een campagne gebaseerd op aanhoudende Teams-voice phishing, waarbij een dreigingsactor zich voordeed als IT-support en meerdere medewerkers targette — en uiteindelijk een gebruiker overtuigde om toegang op afstand te verlenen via Quick Assist.

De aanval slaagde niet door een technische fout — maar omdat de interactie volledig normaal aanvoelde.

Het Probleem: Nu Geautomatiseerd en AI-Gestuurd De dreiging heeft zich in 2025 en 2026 aanzienlijk ontwikkeld.

Dreigingsactoren gebruiken nu phishing-frameworks zoals SquarePhish2 en Graphish voor grootschalige aanvallen. SquarePhish2 gebruikt QR-codes en geautomatiseerde omleidingen binnen de Microsoft OAuth-flow, waardoor de phishingsequentie volledig legitiem lijkt.

Graphish, een phishingkit die gratis wordt gedeeld op hackingforums, stelt aanvallers in staat overtuigende phishingpagina’s te maken via Azure App Registrations en reverse proxy-opstellingen voor adversary-in-the-middle-aanvallen.

Deze tools vereisen minimale technische kennis — de drempel voor aanvallers is nog nooit zo laag geweest.

Het Probleem: MFA Biedt Hier Geen Bescherming Organisaties investeren flink in Multi-Factor Authenticatie, in de veronderstelling dat dit accountovername voorkomt. Device code phishing legt een kritieke zwakte bloot.

  • Het slachtoffer voltooit MFA zelf
  • De authenticatie is technisch gezien volledig legitiem
  • Beveiligingstools zien een normale, succesvolle login
  • De aanvaller krijgt langdurige toegang — vaak voor dagen of weken — zelfs na een wachtwoordreset

MFA is essentieel — maar het is geen wondermiddel.

Het Probleem: Bewustzijnstekorten op Elk Niveau Lokmiddelen claimen steeds vaker betrekking te hebben op het delen van documenten, tokenherauthorisatie of beveiligingsverificatie — met één campagne die een nep-gedeeld document gebruikte getiteld “Salary Bonus + Employer Benefit Reports 25” om slachtoffers naar aanvaller-gecontroleerde sites te leiden die de huisstijl van hun organisatie nabootsten.

Veelvoorkomende zwakke punten zijn:

  • Medewerkers herkennen onverwachte code- of linkverzoeken in Teams niet als verdacht
  • IT-teams monitoren het gebruik van device code flows niet op afwijkingen
  • Externe Teams-toegang is ingeschakeld zonder governance-beleid
  • Geen Conditional Access-beleid dat device code authenticatie blokkeert waar niet nodig

De Oplossing: Technische en Strategische Maatregelen Om je te verdedigen tegen device code phishing hebben organisaties een gelaagde aanpak nodig over technologie, proces en mensen.

Belangrijke maatregelen zijn:

  • 🔒 Blokkeer de device code flow via Conditional Access-beleid waar niet nodig
  • 🚫 Beperk of beheers externe toegang in Microsoft Teams
  • 🔍 Monitor op ongebruikelijke OAuth-tokenuitgifte en inlogpogingen via microsoft.com/devicelogin
  • 🧠 Train medewerkers om nooit te handelen op onverwachte authenticatieverzoeken — zeker niet via Teams
  • 🛡️ Implementeer Continuous Access Evaluation om de geldigheid van tokens te beperken
  • 🔑 Trek actieve tokens onmiddellijk in bij vermoeden van compromittering — niet alleen een wachtwoordreset
  • 🧭 Verankер identiteitsbeveiliging in governance- en risicoframeworks

De Oplossing: Onafhankelijk Advies Verdedigen tegen moderne identiteitsaanvallen vereist meer dan tooling. Bij Demiroz Consultancy B.V. bieden wij objectieve, strategische begeleiding op basis van:

  • Praktijkgerichte dreigingsscenario’s inclusief Teams-gebaseerde en AI-gestuurde aanvalsvectoren
  • Academische en technische diepgang
  • Geen commerciële belangen richting specifieke leveranciers

Wij helpen organisaties te identificeren waar hun identiteitsbeveiligingspositie tekortschiet — voordat aanvallers dat doen.

De Strategische Keuze Meerdere aan Rusland gelieerde groepen — waaronder Storm-2372, APT29, UTA0304, UTA0307 en UNK_AcademicFlare — zijn verantwoordelijk gehouden voor device code phishing-aanvallen op meer dan 340 Microsoft 365-organisaties in vijf landen.

Organisaties staan voor een kritieke beslissing:

  • Reageren nadat een identiteitscompromittering heeft plaatsgevonden
  • Of proactief de gaten dichten die het mogelijk maken

Het venster om te handelen wordt kleiner. De aanvallen zijn geautomatiseerd, AI-ondersteund en arriveren via de tools die uw medewerkers het meest vertrouwen.

Klaar om uw Identiteitsbeveiliging te Versterken? Wilt u inzicht in uw blootstelling aan moderne identiteitsgebaseerde aanvallen? Neem contact op met Demiroz Consultancy B.V. voor een strategische intake.

More insights

Cyber Risico Beoordeling

Inzicht in cyberrisico’s vormt de basis van effectieve cybersecurity. Moderne organisaties opereren binnen complexe digitale ecosystemen, van cloudomgevingen en bedrijfssystemen tot operationele technologie en geïntegreerde supply chains. Zonder helder zicht op kwetsbaarheden en potentiële aanvalspaden wordt het lastig om gerichte keuzes te maken en risico’s effectief te beheersen.

Bij Demiroz Consultancy B.V. voeren wij gestructureerde cyber risk assessments uit die een volledig beeld geven van de securitypositie van een organisatie, op strategisch, operationeel en technisch niveau. Onze assessments brengen kwetsbaarheden, risico’s en tekortkomingen in bestaande maatregelen nauwkeurig in kaart.

Onze Risk Assessment Aanpak

  • Evaluatie van cybersecuritybeleid en governance-structuren
  • Analyse van IT- en operationele securitymaatregelen
  • Beoordeling van netwerkarchitectuur en systeemexposure
  • Review van identity & access management-processen
  • Analyse van detectie- en responscapaciteiten bij incidenten
  • Evaluatie van risico’s binnen de supply chain en bij derden

 

Inzicht dat richting geeft

Het resultaat is een helder en gestructureerd overzicht van het cyberrisicolandschap, ondersteund door geprioriteerde aanbevelingen. Dit stelt organisaties in staat om weloverwogen keuzes te maken en gericht te investeren in duurzame digitale weerbaarheid.

Beveiligingsstrategie & Governance

Cybersecurity is niet langer slechts een IT-aangelegenheid, het is een fundamentele pijler binnen moderne bedrijfsvoering. In een tijd waarin digitale risico’s direct impact hebben op continuïteit en reputatie, vraagt dit om sterke governance en actieve betrokkenheid op directieniveau.

Bij Demiroz Consultancy B.V. positioneren wij cybersecurity als integraal onderdeel van strategische besluitvorming. Wij ondersteunen organisaties bij het naadloos verweven van security binnen governance-structuren, zodat het niet wordt gezien als een operationele verplichting, maar als een strategische en waardecreërende factor.

Onze aanpak is gericht op het creëren van helderheid, structuur en controle. Wij helpen bij het ontwikkelen van robuuste beleidskaders, het definiëren van verantwoordelijkheden en het inrichten van governance-modellen die organisaties in staat stellen om risico’s proactief te beheersen.

Onze Expertise in Governance & Strategie

  • Ontwikkeling van op maat gemaakte cybersecuritystrategieën, volledig in lijn met bedrijfsdoelstellingen
  • Ontwerp en implementatie van hoogwaardige governance- en leiderschapsstructuren
  • Integratie van internationaal erkende frameworks zoals ISO 27001 en NIST
  • Strategische begeleiding bij compliance- en risicomanagementvraagstukken
  • Ontwikkeling van exclusieve security policies en organisatiebrede richtlijnen

 

Weerbaarheid als Concurrentievoordeel

Sterke cybersecurity governance biedt meer dan bescherming, het creëert inzicht, controle en vertrouwen. Organisaties die hierin excelleren, versterken niet alleen hun weerbaarheid, maar bouwen ook aan duurzame groei en een onderscheidende positie in de markt.

Voorbereiden op een Incident response

Cyberincidenten, zoals ransomware-aanvallen, datalekken en systeemverstoringen, kunnen ingrijpende operationele en financiële gevolgen hebben. Organisaties die onvoldoende voorbereid zijn, ondervinden vaak moeite om effectief te reageren, wat leidt tot langere uitval en grotere impact.

Bij Demiroz Consultancy B.V. helpen wij organisaties hun incident response readiness naar een hoger niveau te tillen door middel van gestructureerde planning, grondige voorbereiding en realistische testscenario’s.

Ons doel is helder:

Ervoor zorgen dat uw organisatie snel, doeltreffend en met vertrouwen kan handelen wanneer een cyberincident zich voordoet.

Onze Incident Readiness Services

  • Ontwikkeling van op maat gemaakte incident response strategieën en procedures
  • Definiëren van rollen en verantwoordelijkheden tijdens cyberincidenten
  • Inrichten van communicatie- en escalatieprotocollen
  • Uitvoeren van geavanceerde simulaties en tabletop-oefeningen
  • Evaluatie en versterking van detectie- en monitoringcapaciteiten

 

Voorbereid op wat echt telt

Door proactieve voorbereiding en continue optimalisatie kunnen organisaties de impact van cyberincidenten aanzienlijk beperken en tegelijkertijd bedrijfscontinuïteit, kritieke processen en langdurige weerbaarheid waarborgen.

Kritische Infrastructuur & Operationele Technologie Beveiliging

Organisaties die werken met kritieke infrastructuur en industriële omgevingen staan voor unieke cybersecurity-uitdagingen. Operational technology (OT)-systemen, zoals industriële controlesystemen, productiesystemen en energie-infrastructuur, zijn vaak ontwikkeld zonder cybersecurity als uitgangspunt. Naarmate deze systemen steeds meer met elkaar verbonden raken, neemt ook hun blootstelling aan cyberdreigingen toe.

Bij Demiroz Consultancy B.V. bieden wij gespecialiseerde adviesdiensten gericht op het versterken van de security en weerbaarheid van OT-omgevingen. Onze aanpak waarborgt een zorgvuldige balans tussen cybersecurity en de continuïteit, veiligheid en betrouwbaarheid van operationele processen.

Onze OT Security Diensten

  • Security assessments van industriële controlesystemen en OT-netwerken
  • Evaluatie van segmentatie tussen IT- en OT-omgevingen
  • Identificatie van kwetsbaarheden binnen industriële systemen en processen
  • Ontwikkeling van op maat gemaakte securitystrategieën voor kritieke infrastructuur
  • Begeleiding bij implementatie van industriestandaarden en best practices

 

Bescherming van Kritieke Processen

Door de cybersecurity van OT-omgevingen te versterken, verkleinen organisaties het risico op verstoringen die productie, veiligheid en essentiële dienstverlening kunnen beïnvloeden en waarborgen zij de continuïteit van hun meest kritieke processen.

Continu Beveiligingsverbetering

Cybersecurity is geen eenmalig project, het is een continu en dynamisch proces. Naarmate organisaties groeien en technologieën zich ontwikkelen, verandert ook het dreigingslandschap. Duurzame weerbaarheid vraagt daarom om voortdurende monitoring, evaluatie en verfijning van securitycapaciteiten.

Bij Demiroz Consultancy B.V. ondersteunen wij organisaties bij het opzetten van langetermijnprogramma’s voor cybersecurityverbetering, gericht op het behouden en versterken van een sterke securitypositie. Onze aanpak combineert strategisch inzicht met praktische uitvoering, zodat security meegroeit met de organisatie.

Deze programma’s omvatten onder andere periodieke assessments, strategische evaluaties en deskundige begeleiding bij de implementatie van nieuwe security-initiatieven, volledig afgestemd op de volwassenheid en ambities van de organisatie.

Duurzame Security Excellence

Ons doel is helder:

Organisaties in staat stellen om voorbereid te blijven op nieuwe dreigingen, terwijl operationele efficiëntie en naleving van wet- en regelgeving gewaarborgd blijven. Door continue verbetering centraal te stellen, ontstaat een solide basis voor langdurige weerbaarheid en groei.

Cybersecurity advies voor Management

Cybersecuritybeslissingen vereisen steeds vaker inzicht op directieniveau en strategische sturing. Bestuurders en senior management moeten cyberrisico’s begrijpen om weloverwogen keuzes te maken over investeringen, risicobereidheid en wettelijke verplichtingen.

Demiroz Consultancy B.V. biedt onafhankelijke adviesdiensten voor directies en managementteams die behoefte hebben aan strategische cybersecuritybegeleiding. Onze dienstverlening richt zich op het vertalen van technische risico’s naar heldere, bedrijfsrelevante inzichten die effectieve besluitvorming ondersteunen.

Onze Advisory Services

  • Strategische cyber risk briefings voor directie en management
  • Cybersecurity-advies op bestuursniveau
  • Evaluaties van securityvolwassenheid en bijbehorende verbeterroadmaps
  • Onafhankelijke reviews van cybersecurityprogramma’s en -initiatieven

 

Van inzicht naar Impact

Door leiderschap te ondersteunen met duidelijke en toepasbare inzichten, zorgen wij ervoor dat cybersecurity een geïntegreerd onderdeel wordt van de bredere bedrijfsstrategie en besluitvorming.