De FBI heeft onlangs een dringende waarschuwing de deur uitgedaan voor een relatief nieuwe, maar zeer effectieve methode van cybercriminaliteit: device code phishing (ook wel bekend als OAuth device code flow abuse). Waar traditionele phishing zich richt op het stelen van je wachtwoord, omzeilt deze techniek moeiteloos je standaard Multi-Factor Authenticatie (MFA).
Voor Microsoft 365-gebruikers binnen het MKB is dit een serieus risico. In dit blog leggen we uit hoe deze aanval werkt en – belangrijker nog – welke specifieke knoppen je in Microsoft Entra ID moet omdraaien om dit lek vandaag nog te dichten.
Hoe werkt Device Code Phishing?
De ‘device code flow’ is een legitieme functie van Microsoft. Het is oorspronkelijk ontworpen voor apparaten die geen toetsenbord of browser hebben, zoals een smart-tv in een vergaderruimte of een geavanceerde netwerkprinter. Je krijgt dan een korte code op het scherm te zien en de instructie: “Ga naar microsoft.com/devicelogin en voer de code in.”
Hackers misbruiken dit mechanisme nu op grote schaal via phishing:
- De Lokker: De hacker stuurt een legitiem ogende mail (bijvoorbeeld over een ‘verlopen factuur’ of een ‘belangrijke Teams-update’).
- De Code: In plaats van een link naar een valse inlogpagina, bevat de mail of de achterliggende pagina een officiële Microsoft-devicecode die de hacker zojuist heeft opgevraagd.
- De Fout: De gebruiker klikt op de link, komt op de echte Microsoft-website terecht en vult braakliggend de code in. De gebruiker keurt daarna de MFA-prompt goed op zijn telefoon.
- De Inbraak: Omdat de code is ingevoerd, krijgt het apparaat van de hacker direct een zogenaamd ‘access token’. De hacker zit in jouw Microsoft 365-omgeving, zónder dat hij ooit jouw wachtwoord of MFA-code heeft gezien.
De Oplossing: Blokkeren via Conditional Access (CA)
Gelukkig kun je dit risico nagenoeg naar nul reduceren. De kans dat een gemiddelde MKB-medewerker de device code flow daadwerkelijk nodig heeft voor zijn dagelijkse werk is namelijk nihil.
Als Security Consultant adviseren wij om deze specifieke authenticatiestroom direct te blokkeren via een Conditional Access (Voorwaardelijke Toegang) policy binnen Microsoft Entra ID.
Hier is de exacte inrichting die je moet toepassen:
| Onderdeel | Instelling in Entra ID | Toelichting |
| Naam | CA010 - Block Device Code Flow | Houd je naamgeving consistent. |
| Users | All Users | Let op: Sluit je ‘Break-Glass’ (nood)accounts uit! |
| Target Resources | All Cloud Apps | Dit zorgt ervoor dat de blokkade overal geldt. |
| Conditions | Client Apps -> Vink Browser en Mobile apps and desktop clients UIT. | Belangrijk: Laat de rest aanstaan (dit triggert de ‘legacy/other’ protocollen waar de device flow onder valt). |
| Grant | Block Access | We willen deze stroom simpelweg weigeren. |
Pro-tip van Delight IT: Wil je de device code flow toch toestaan voor specifieke IT-beheerders of die ene slimme printer? Maak dan een specifieke uitzonderingsgroep aan in Entra ID en koppel die als ‘Exclude’ aan deze policy. Zo blijft de rest van de organisatie waterdicht beveiligd.
Waarom dit essentieel is voor de NIS2-wetgeving
Onder de NIS2-richtlijn hebben MKB-bedrijven in vitale of belangrijke sectoren een strikte zorgplicht. Je moet kunnen aantonen dat je de toegang tot je bedrijfsdata actief beveiligt tegen bekende dreigingen. Nu de FBI officieel waarschuwt voor deze methode, kun je het je als organisatie niet meer veroorloven om dit open te laten staan. Het implementeren van deze CA-policy is een perfect voorbeeld van proactieve cybersecurity die je direct kunt documenteren voor je compliance.
Conclusie: Voorkomen is beter dan herstellen
Cybercriminals veranderen hun tactieken continu. Zodra we gewend zijn aan MFA, verzinnen ze een list zoals device code phishing om eromheen te lopen. Het up-to-date houden van je Microsoft 365-beveiliging is daarom geen eenmalige taak, maar een continu proces.
Benieuwd of jouw Microsoft Entra ID en Conditional Access policies optimaal zijn ingericht volgens de laatste security-standaarden? Laat ons een Security Scan uitvoeren.
