Device Code Phishing: hoe aanvallers MFA omzeilen zonder dat je het doorhebt
Ontdek hoe device code phishing werkt, waarom MFA niet altijd beschermt, en hoe je jouw Microsoft 365 omgeving kunt beveiligen tegen deze groeiende dreiging.
Je ontvangt een telefoontje van “Microsoft Support”. Ze vragen je een code in te voeren op microsoft.com/devicelogin om een beveiligingsprobleem op te lossen. Je typt de code in, logt in met je wachtwoord en MFA op een echte Microsoft pagina. Alles lijkt normaal.
Maar op dat moment heeft de aanvaller een geldig token ontvangen waarmee hij maandenlang toegang heeft tot je account. Zonder je wachtwoord te kennen. Zonder je MFA te kraken. Via een legitieme Microsoft functie.
Dit is device code phishing, en het is de snelst groeiende aanvalstechniek op Microsoft 365 in 2026.
Wat is device code phishing?
Device code flow is een legitiem authenticatiemechanisme van Microsoft, ontworpen voor apparaten zonder browser. Denk aan smart TV’s, printers of IoT apparaten. Het werkt als volgt:
- Het apparaat vraagt een tijdelijke code aan bij Microsoft
- De gebruiker opent microsoft.com/devicelogin op een ander apparaat
- De gebruiker voert de code in en logt in met zijn credentials en MFA
- Het oorspronkelijke apparaat ontvangt een access token
Het probleem: aanvallers genereren deze codes zelf en overtuigen slachtoffers om ze in te voeren. De gebruiker logt in op een echte Microsoft pagina, wat het vrijwel onmogelijk maakt om de aanval te herkennen.
Waarom MFA niet beschermt
Dit is het verraderlijke: de gebruiker voert zijn MFA verificatie correct uit. Hij logt in op een legitieme Microsoft pagina. Alle beveiligingslagen worden doorlopen. Maar de token gaat naar de aanvaller, niet naar het apparaat dat de gebruiker verwacht.
MFA beschermt tegen gestolen wachtwoorden. Maar bij device code phishing werkt de gebruiker mee aan de aanval. Hij authenticeert de sessie van de aanvaller met zijn eigen MFA.
Hoe groot is het probleem?
In maart 2026 detecteerde beveiligingsonderzoeker ANY.RUN meer dan 180 phishing URLs per week die device code flow misbruiken. Microsoft’s eigen Defender Security Research Team bevestigde de dreiging.
De aanvallen richten zich op:
- Overheidsorganisaties
- MSP’s met toegang tot meerdere klantomgevingen
- Organisaties die vertrouwen op MFA als enige beschermingslaag
De Russisch gelieerde groep UNK_AcademicFlare voert actief campagnes uit via gecompromitteerde e-mailaccounts en vervalste OneDrive uitnodigingen.
Hoe bescherm je je organisatie?
Stap 1: Blokkeer device code flow via Conditional Access
De meest effectieve maatregel is het volledig blokkeren van device code flow authenticatie via een Conditional Access policy.
De meeste MKB organisaties gebruiken geen apparaten die device code flow nodig hebben. Blokkeren is veilig en heeft geen impact op de dagelijkse werkzaamheden.
Stap 2: Train je medewerkers
Device code phishing begint bijna altijd met social engineering:
- Een telefoontje van “Microsoft Support”
- Een e-mail met een dringende beveiligingsmelding
- Een Teams bericht van een “collega” met een link
Maak je team bewust dat Microsoft nooit vraagt om codes in te voeren via telefoon of e-mail.
Stap 3: Monitor je tenant
Controleer regelmatig of:
- Device code flow geblokkeerd is voor alle gebruikers
- Er geen uitzonderingen zijn die de blokkering omzeilen
- De policy daadwerkelijk afdwingt en niet in report only modus staat
Controleer je eigen omgeving
Wil je weten of jouw Microsoft 365 omgeving beschermd is tegen device code phishing? De Risky User Analyzer van Tenant Wizards controleert automatisch of device code flow geblokkeerd is voor je account, naast negen andere beveiligingschecks.
Binnen vijf minuten weet je of je beschermd bent.