Nätfiske via enhetskod eller ”device code phishing” växer snabbt och håller på att etableras som ett nytt standardangrepp inom cyberbrottslighet. En ny analys från Säkerhetsföretaget Barracuda visar hur metoden används för att få långvarig och godkänd åtkomst till molntjänster som Microsoft 365 och Entra ID. Under en fyraveckorsperiod har säkerhetsföretaget identifierat över sju miljoner attacker kopplade till denna typ av nätfiske.
Kortfattat innebär device code phishing att användaren luras att godkänna en inloggning till sin enhet genom att ange en korrekt verifieringskod på en legitim inloggningssida. Till skillnad från traditionellt nätfiske används inga falska inloggningssidor, och användaren ger omedvetet angriparen åtkomst genom ett helt giltigt inloggningsflöde.
– Device code phishing har blivit ett industrialiserat och snabbt växande hot – och nu behöver säkerhetsarbetet utvecklas i samma takt. Lagerbaserade skydd som avancerad e‑postsäkerhet, skydd för identiteter och kontinuerlig övervakning kan kraftigt minska risken. Men det är helt avgörande att ha tydliga kontroller av hur användarna auktoriserar sina enheter och att öka medvetenheten om när och var man ska ange sina verifieringskoder på ett säkert sätt, säger Kristian Lundström, lösningsarkitekt på Barracuda Networks.
Så fungerar attacken
Enhetsautentisering används ofta för till exempel tv‑apparater, skrivare och andra system som saknar traditionellt användargränssnitt. Där loggar användaren in genom att ange en kort kod på en redan betrodd enhet som en mobiltelefon.
Vid device code phishing begär angriparen först en giltig enhetskod från Microsoft. Därefter skickas ett nätfiskemeddelande som uppmanar mottagaren att ange koden på en legitim inloggningssida, exempelvis microsoft.com/devicelogin. När användaren genomför inloggningen utfärdar Microsoft en OAuth‑åtkomsttoken tillsammans med en uppdateringstoken som i stället överförs till angriparen. Resultatet är omedelbar och godkänd åtkomst till kontot.
Därför är hotet svårt att upptäcka
Till skillnad från traditionellt nätfiske bygger device code phishing helt på officiella autentiseringstjänster och legitima länkar. Det gör attackerna betydligt svårare att upptäcka med traditionella säkerhetskontroller och e‑postfilter.
Eftersom användaren själv godkänner inloggningen kringgås dessutom multifaktorautentisering och villkorsstyrda åtkomstregler. Uppdateringstoken gör det möjligt för angriparen att behålla åtkomst i dagar eller veckor, även om lösenordet byts. Metoden bygger också på användarnas vana vid att ange korta koder för att koppla samman enheter, vilket gör angreppet lätt att missta för ett legitimt flöde.
Företaget konstaterar att device code phishing växer snabbt i takt med att metoden paketeras och sprids via färdiga verktyg för phishing‑as‑a‑service, däribland nyligen uppmärksammade kit som EvilTokens. När attacken lyckas kan angriparen få långsiktig åtkomst till molnbaserade e‑post‑ och identitetsmiljöer utan att behöva stjäla lösenord eller utlösa traditionella säkerhetslarm.
