Microsoft 365 Accounts Doelwit van OAuth Phishingaanvallen

Meerdere dreigingsactoren maken Microsoft 365-accounts buit in phishingaanvallen door gebruik te maken van de OAuth device code autorisatiemechanisme.

Aanvallers verleiden slachtoffers om een apparaatcode in te voeren op Microsoft’s officiële inlogpagina, waardoor onbewust toestemming wordt gegeven aan een door aanvallers beheerde applicatie. Dit geeft hen toegang tot het account zonder dat wachtwoorden gestolen hoeven te worden of multi-factor authenticatie (MFA) omzeild moet worden.

Hoewel deze methode niet nieuw is, meldt de e-mailbeveiligingsfirma Proofpoint dat deze aanvallen sinds september sterk in aantal zijn toegenomen. Ze worden uitgevoerd door zowel financieel gemotiveerde cybercriminelen zoals TA2723 als staatgealigneerde dreigingsactoren.

Proofpoint’s Threat Research heeft meerdere dreigingsclusters waargenomen die gebruikers misleiden door apparaatcode-phishing, wat volgens het beveiligingsbedrijf ongebruikelijk wijdverspreid is.

Tools en Campagnes

De aanvallen die Proofpoint waarneemt, vertonen kleine variaties maar hebben allemaal als doel slachtoffers te verleiden om een apparaatcode in te voeren op Microsoft’s authentieke inlogportalen. Soms wordt de apparaatcode gepresenteerd als een eenmalig wachtwoord, of als een token herautorisatiebericht.

Er zijn twee phishingkits geïdentificeerd in de aanvallen: SquarePhish v1 en v2, en Graphish. SquarePhish benadert OAuth autorisatie via QR-codes en lijkt op echte Microsoft MFA/TOTP-installaties. Graphish is een kwaadaardige phishingkit die wordt gedeeld op ondergrondse forums en ondersteunt het misbruik van OAuth, Azure App Registrations, en adversary-in-the-middle (AiTM) aanvallen.

Proofpoint heeft drie campagnes uitgelicht in hun rapport:

• Salarisbonusaanvallen: Met documenten-delen als lokmiddel en lokale bedrijfsbranding worden ontvangers verleid links aan te klikken naar door aanvallers beheerde websites. Slachtoffers wordt gevraagd "veilige authenticatie" te voltooien door een code in te voeren op Microsoft’s legitieme inlogpagina, wat een door aanvallers gecontroleerde applicatie autoriseert.

• TA2723-aanvallen: Deze bekende aanvaller met hoge-opbrengst phishingaanvallen richt zich nu op OAuth device code phishing. Eerder werden Microsoft OneDrive, LinkedIn en DocuSign nagebootst.

• Staatsgerelateerde activiteit: Sinds september 2025 observeerde Proofpoint de vermoedelijke Rusland-gelieerde actor UNK_AcademicFlare die OAuth device code autorisatie misbruikt voor het overnemen van accounts, vooral gericht op overheden, academische instellingen en vervoerssectoren in de VS en Europa.

Proofpoint beveelt organisaties aan om waar mogelijk Microsoft Entra Conditional Access te gebruiken en een beleid te overwegen voor de herkomst van aanmeldingen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.