Kort fortalt går device code phishing ud på, at brugeren narres til at godkende et login til sin enhed ved at indtaste en korrekt verifikationskode på en legitim login-side. I modsætning til traditionelt phishing anvendes der ingen falske login-sider – brugeren giver ubevidst angriberen adgang via et helt gyldigt loginforløb.

Et voksende trusselsbillede

– Device code phishing er blevet en industrialiseret og hurtigt voksende trussel – og nu skal sikkerhedsarbejdet udvikle sig i samme tempo. Lagdelte beskyttelsesmekanismer som avanceret e-mailsikkerhed, identitetsbeskyttelse og kontinuerlig overvågning kan markant reducere risikoen, siger Kristian Lundström, løsningsarkitekt hos Barracuda Networks.

– Men det er helt afgørende at have klare kontroller for, hvordan brugere godkender deres enheder, og at øge bevidstheden om, hvornår og hvor man sikkert bør indtaste sine verifikationskoder.

Sådan fungerer angrebet

Enhedsautentificering bruges ofte til f.eks. tv’er, printere og andre systemer uden traditionelt brugerinterface. Her logger brugeren ind ved at indtaste en kort kode på en allerede betroet enhed, som en mobiltelefon.

Ved device code phishing anmoder angriberen først om en gyldig enhedskode fra Microsoft. Derefter sendes en phishingbesked, der beder modtageren om at indtaste koden på en legitim login-side. Når brugeren gennemfører login, udsteder Microsoft en OAuth-adgangstoken sammen med en opdateringstoken, som i stedet overføres til angriberen. Resultatet er øjeblikkelig og godkendt adgang til kontoen.

Derfor er truslen svær at opdage

I modsætning til traditionelt phishing bygger device code phishing udelukkende på officielle autentificeringstjenester og legitime links. Det gør angrebene betydeligt sværere at opdage med klassiske sikkerhedskontroller og e-mailfiltre.

Da brugeren selv godkender loginet, omgås både multifaktorgodkendelse og betingede adgangsregler. Opdateringstokenet gør det muligt for angriberen at bevare adgang i dage eller uger – selv hvis adgangskoden ændres. Metoden udnytter også brugernes vane med at indtaste korte koder for at forbinde enheder, hvilket gør angrebet let at forveksle med en legitim proces.

Barracuda påpeger, at device code phishing vokser hurtigt i takt med, at metoden pakkes og distribueres via færdige phishing-as-a-service-værktøjer, herunder nyere kits som Evilginx (ofte omtalt sammen med lignende værktøjer som “Eviltokens”). Når angrebet lykkes, kan angriberen opnå langvarig adgang til cloudbaseret e-mail og identitetsmiljøer uden at skulle stjæle adgangskoder eller udløse traditionelle sikkerhedsalarmer.