Device Code Phishing: hoe aanvallers MFA omzeilen zonder dat je het doorhebt

Je ontvangt een telefoontje van “Microsoft Support”. Ze vragen je een code in te voeren op microsoft.com/devicelogin om een beveiligingsprobleem op te lossen. Je typt de code in, logt in met je wachtwoord en MFA op een echte Microsoft pagina. Alles lijkt normaal.

Maar op dat moment heeft de aanvaller een geldig token ontvangen waarmee hij maandenlang toegang heeft tot je account. Zonder je wachtwoord te kennen. Zonder je MFA te kraken. Via een legitieme Microsoft functie.

Dit is device code phishing, en het is de snelst groeiende aanvalstechniek op Microsoft 365 in 2026.

Wat is device code phishing?

Device code flow is een legitiem authenticatiemechanisme van Microsoft, ontworpen voor apparaten zonder browser. Denk aan smart TV’s, printers of IoT apparaten. Het werkt als volgt:

1. Het apparaat vraagt een tijdelijke code aan bij Microsoft
2. De gebruiker opent microsoft.com/devicelogin op een ander apparaat
3. De gebruiker voert de code in en logt in met zijn credentials en MFA
4. Het oorspronkelijke apparaat ontvangt een access token

Het probleem: aanvallers genereren deze codes zelf en overtuigen slachtoffers om ze in te voeren. De gebruiker logt in op een echte Microsoft pagina, wat het vrijwel onmogelijk maakt om de aanval te herkennen.

Waarom MFA niet beschermt

Dit is het verraderlijke: de gebruiker voert zijn MFA verificatie correct uit. Hij logt in op een legitieme Microsoft pagina. Alle beveiligingslagen worden doorlopen. Maar de token gaat naar de aanvaller, niet naar het apparaat dat de gebruiker verwacht.

MFA beschermt tegen gestolen wachtwoorden. Maar bij device code phishing werkt de gebruiker mee aan de aanval. Hij authenticeert de sessie van de aanvaller met zijn eigen MFA.

Wat maakt deze aanval anders dan gewone phishing?

Bij traditionele phishing stuurt een aanvaller je naar een nagemaakte inlogpagina. Een oplettende gebruiker kan dat herkennen: het domein klopt niet, het certificaat is verdacht, of de pagina ziet er net anders uit. Moderne browsers en e-mailfilters vangen een groot deel van deze aanvallen af.

Device code phishing werkt fundamenteel anders. De gebruiker logt in op de echte Microsoft pagina, met het echte domein en het echte certificaat. Er is geen neppe website. Er is geen verdachte link. De enige afwijking is dat iemand je vraagt een code in te voeren, en dat is precies wat device code flow ontworpen is om te doen.

Daardoor werken de meeste traditionele beschermingsmaatregelen niet:

• E-mailfilters herkennen geen phishing, want de link naar microsoft.com/devicelogin is legitiem
• Browserbeveiliging slaat niet aan, want de pagina is echt
• Wachtwoordmanagers vullen credentials gewoon in, want het domein klopt
• De gebruiker zelf heeft geen reden om te twijfelen

Dit maakt device code phishing bijzonder effectief, ook tegen goed getrainde medewerkers.

Wat gebeurt er technisch na de aanval?

Zodra de gebruiker inlogt en de device code autoriseert, ontvangt de aanvaller twee tokens van Microsoft:

• Een access token met een levensduur van doorgaans 60 tot 90 minuten, waarmee direct API-aanroepen gedaan kunnen worden
• Een refresh token met een levensduur van tot 90 dagen, waarmee steeds nieuwe access tokens aangevraagd kunnen worden

Het refresh token is het echte gevaar. Zolang dit token geldig is, kan de aanvaller zonder enige verdere interactie van het slachtoffer nieuwe sessies openen. Het wachtwoord wijzigen helpt niet. MFA opnieuw instellen helpt niet. Alleen het expliciet intrekken van alle actieve tokens stopt de toegang.

Met deze tokens kan de aanvaller doorgaans:

• E-mail lezen en versturen via Microsoft Graph, inclusief het doorzoeken van de volledige mailbox
• Bestanden openen in OneDrive en SharePoint, inclusief vertrouwelijke documenten
• Teams berichten lezen en versturen namens het slachtoffer
• Nieuwe phishing aanvallen uitvoeren vanuit het gecompromitteerde account, wat het bijzonder gevaarlijk maakt voor MSP’s

Omdat de aanvaller een geldig token gebruikt en geen verdacht inloggedrag vertoont, slaan standaard beveiligingsmeldingen vaak niet aan. De sessie ziet er voor Microsoft uit als een normale, geautoriseerde verbinding.

Hoe groot is het probleem?

In maart 2026 detecteerde beveiligingsonderzoeker ANY.RUN meer dan 180 phishing URLs per week die device code flow misbruiken. Microsoft’s eigen Defender Security Research Team bevestigde de dreiging.

De aanvallen richten zich op:

• Overheidsorganisaties
• MSP’s met toegang tot meerdere klantomgevingen
• Organisaties die vertrouwen op MFA als enige beschermingslaag

De Russisch gelieerde groep UNK_AcademicFlare voert actief campagnes uit via gecompromitteerde e-mailaccounts en vervalste OneDrive uitnodigingen.

Hoe herken je een device code phishing aanval?

Hoewel de aanval lastig te detecteren is voor de eindgebruiker, zijn er signalen waar je als IT-beheerder op kunt letten:

Signalen voor eindgebruikers:

• Een onverwacht verzoek om een code in te voeren op microsoft.com/devicelogin, via telefoon, e-mail of chat
• Urgentie in het verzoek: “je account wordt geblokkeerd”, “er is een beveiligingsincident”, “dit moet nu gebeuren”
• Het verzoek komt van iemand die zich voordoet als Microsoft Support, je IT-afdeling of een bekende collega
• Na het invoeren van de code en het inloggen gebeurt er ogenschijnlijk niets, er opent geen applicatie en er is geen zichtbaar resultaat

Signalen in je Microsoft 365 tenant:

• Inlogpogingen via device code flow in de Entra ID Sign-in logs, zeker als je organisatie geen apparaten gebruikt die dit nodig hebben
• Inlogpogingen vanaf onbekende IP-adressen of locaties direct na een device code authenticatie
• Een plotselinge toename van e-mailforwarding regels of inbox rules op een account
• Ongebruikelijke Graph API activiteit vanuit een account dat normaal alleen via Outlook of Teams werkt

Als je een van deze signalen ziet, behandel het dan als een beveiligingsincident en volg direct de stappen verderop in dit artikel.

Hoe bescherm je je organisatie?

Stap 1: Blokkeer device code flow via Conditional Access

De meest effectieve maatregel is het volledig blokkeren van device code flow authenticatie via een Conditional Access policy.

De meeste MKB organisaties gebruiken geen apparaten die device code flow nodig hebben. Blokkeren is veilig en heeft geen impact op de dagelijkse werkzaamheden.

Concreet maak je in Entra ID een Conditional Access policy aan die van toepassing is op alle gebruikers, met als voorwaarde de authenticatie flow “Device code flow”, en als actie “Block access”. Zorg ervoor dat de policy op Enforce staat en niet op Report Only. Test vooraf of er geen bedrijfskritische applicaties zijn die device code flow gebruiken; als dat het geval is, maak dan een zo klein mogelijke uitzondering.

Stap 2: Train je medewerkers

Device code phishing begint bijna altijd met social engineering:

• Een telefoontje van “Microsoft Support”
• Een e-mail met een dringende beveiligingsmelding
• Een Teams bericht van een “collega” met een link

Maak je team bewust dat Microsoft nooit vraagt om codes in te voeren via telefoon of e-mail.

Een effectieve aanpak is om device code phishing op te nemen in je reguliere security awareness training. Laat medewerkers zien hoe de aanval eruitziet en geef ze een simpele vuistregel: voer nooit een code in op microsoft.com/devicelogin tenzij je zelf bewust een apparaat aan het koppelen bent. Als iemand je vraagt dit te doen, neem dan altijd eerst contact op met je IT-afdeling.

Stap 3: Monitor je tenant

Controleer regelmatig of:

• Device code flow geblokkeerd is voor alle gebruikers
• Er geen uitzonderingen zijn die de blokkering omzeilen
• De policy daadwerkelijk afdwingt en niet in report only modus staat

Je kunt de Entra ID Sign-in logs filteren op authentication protocol “Device code” om te zien of er pogingen zijn geweest. Stel daarnaast een alert in zodat je automatisch een melding krijgt wanneer device code flow authenticatie plaatsvindt, zeker als je het volledig geblokkeerd hebt. Een succesvolle authenticatie via device code flow terwijl de policy actief is, wijst op een misconfiguratie die je direct moet onderzoeken.

Wat als je al slachtoffer bent?

Vermoed je dat een account gecompromitteerd is via device code phishing? Handel dan snel. Hoe langer de aanvaller toegang heeft, hoe meer schade hij kan aanrichten en hoe groter de kans dat hij zich verder verspreidt binnen je organisatie.

Directe maatregelen (binnen het eerste uur):

1. Revoke alle sessies van het getroffen account via Entra ID. Ga naar het gebruikersprofiel en klik op “Revoke sessions”. Dit maakt alle actieve tokens ongeldig, inclusief het refresh token van de aanvaller
2. Reset het wachtwoord van het account. Hoewel de aanvaller het wachtwoord niet kent, voorkomt dit dat gestolen tokens vernieuwd worden
3. Controleer inbox rules en e-mail forwarding. Aanvallers configureren vaak regels om e-mails door te sturen naar een extern adres of om beveiligingsmeldingen automatisch te verwijderen
4. Controleer recente activiteit in de Unified Audit Log. Zoek naar ongebruikelijke bestandstoegang, e-mailactiviteit en wijzigingen in instellingen

Vervolgstappen:

• Controleer of het gecompromitteerde account is gebruikt om phishing berichten te versturen naar collega’s of externe contacten. Als dat het geval is, waarschuw de ontvangers direct
• Controleer of er nieuwe app registraties of consent grants zijn toegevoegd vanuit het account
• Als het account beheerdersrechten heeft, controleer dan alle wijzigingen in de tenant configuratie sinds het vermoedelijke moment van compromittering
• Documenteer het incident en gebruik het als concreet voorbeeld in je volgende security awareness sessie

Hoe sneller je de sessies revoket, hoe kleiner de impact. Een refresh token dat binnen een uur wordt ingetrokken geeft de aanvaller nauwelijks tijd om structurele toegang op te zetten.

Controleer je eigen omgeving

Wil je weten of jouw Microsoft 365 omgeving beschermd is tegen device code phishing? De Risky User Analyzer van Tenant Wizards controleert automatisch of device code flow geblokkeerd is voor je account, naast negen andere beveiligingschecks. Binnen vijf minuten weet je of je beschermd bent.

Wil je direct je hele organisatie controleren? Met de Risky User Tenant Analyzer scan je alle gebruikers in je Microsoft 365 omgeving in één keer en zie je direct wie risico loopt.

Scan een individueel account | Scan je hele Microsoft 365 omgeving