Beveiligingsbedrijf Barracuda ziet een nieuwe golf aan phishing via de zogeheten device code-inlogmethode. In vier weken tijd werden wereldwijd 7 miljoen van deze pogingen gedetecteerd. De aanval richt zich vooral op accounts bij clouddiensten zoals Microsoft 365, ook in Nederland en Europa. Dit is relevant voor overheden en bedrijven door de gevolgen voor AVG en de Europese AI-verordening (AI Act) bij inzet van slimme filtersoftware.
Devicecode-phishing omzeilt filters
Bij devicecode-phishing misbruiken criminelen een onderdeel van OAuth 2.0, een inlogstandaard voor apps en apparaten. De gebruiker krijgt per e-mail of chat een korte code en het verzoek die in te vullen op een echte inlogpagina. Er staat soms geen link in het bericht, waardoor klassieke spam- en linkscanners niets verdachts vinden. Toch leidt het proces tot het afgeven van toegangstokens aan de aanvaller.
De truc werkt omdat het slachtoffer interactie heeft met een legitieme website. Het invoeren van de code lijkt onschuldig en vertrouwd. Gebruikers zien vaak geen merkbaar risico, omdat er geen wachtwoord wordt gevraagd in de eerste stap. De toestemming gebeurt in de achtergrond, via het standaardproces van de dienstverlener.
Als de gebruiker de koppeling voltooit, krijgt de aanvaller vaak toegang tot e-mail of bestanden. Dat kan ook gebeuren zonder dat wachtwoorden of sms-codes worden onderschept. De dief gebruikt dan het verkregen token om in te loggen alsof het een vertrouwd apparaat is. Zo kan de aanval onopgemerkt blijven tot er schade is.
“7 miljoen devicecode-phishingaanvallen in vier weken”
MFA niet altijd genoeg
Meervoudige aanmelding (MFA) helpt, maar is niet waterdicht in dit scenario. Bij devicecode-phishing wordt toestemming gegeven binnen een legitieme sessie. De gebruiker kan onbewust een token verstrekken dat MFA deels omzeilt. Dat maakt bewustwording en technische blokkades samen noodzakelijk.
Phishing-resistente methoden zoals FIDO2/WebAuthn zijn sterker tegen deze aanpak. Deze methoden koppelen de login aan het apparaat en de website, waardoor misbruik lastiger is. Entra ID (voorheen Azure AD) van Microsoft ondersteunt dit. Organisaties in Nederland die Microsoft 365 gebruiken, kunnen daar direct op sturen.
Ook het beperken van app-toestemmingen verkleint risico’s. Verplicht bijvoorbeeld beheerderstoestemming voor gevoelige machtigingen. Controleer regelmatig welke apps toegang hebben tot e-mail en bestanden. Schakel waar mogelijk de device code-flow uit of beperk die via beleid voor voorwaardelijke toegang.
AI-verordening raakt e-mailbeveiliging
Leveranciers zoals Barracuda gebruiken kunstmatige intelligentie om verdachte patronen in e-mail te vinden. Algoritmen kijken naar schrijfstijl, afzendergedrag en inhoud zonder alleen op links te letten. Dat is nodig bij devicecode-phishing, omdat berichten vaak legitiem ogen. Tegelijk zetten criminelen generatieve AI in om foutloze, lokale taal te gebruiken.
Voor Europese organisaties spelen regels mee. De AVG vereist dat e-mailbeveiliging dataminimalisatie toepast en gegevens goed beveiligt. Denk aan heldere bewaartermijnen en versleuteling van opgeslagen berichten. Een DPIA kan nodig zijn als monitoring ingrijpend is voor werknemers.
De Europese AI-verordening stelt eisen aan het gebruik van AI-systemen. E-mailfilters vallen doorgaans niet in de hoogrisicocategorie, maar transparantie en risicobeheer blijven belangrijk. Overheden en vitale sectoren moeten bovendien rekening houden met NIS2-verplichtingen. Die vragen om aantoonbare maatregelen en snelle melding bij ernstige incidenten.
Aanpak voor Nederlandse organisaties
Begin met beleid in de identiteitslaag. Beperk of blokkeer de OAuth device code-flow als die niet strikt nodig is. Stel voorwaardelijke toegang in op basis van apparaat, locatie en risico. Verplicht phishing-resistente MFA waar het kan.
Verstevig daarna het toestemmingsbeheer. Sta alleen vertrouwde apps toe via een goedkeuringsproces. Monitor voortdurend nieuwe OAuth-toestemmingen en hoge-risico-inlogs. Automatiseer blokkades bij afwijkend gedrag, maar leg vast hoe beslissingen worden genomen en herzien.
Training blijft nodig, met concrete voorbeelden. Leg uit dat ook een code op een echte website invoeren riskant kan zijn. Laat medewerkers verdachte toestemmingsschermen onmiddellijk melden. Documenteer dit in je incidentresponsplan voor NIS2 en houd rekening met meldplichten onder de AVG bij datalekken.
Impact van het hoge volume
Zeven miljoen pogingen in vier weken wijst op schaal en automatisering. Het is een signaal dat misbruik van standaard inlogstromen toeneemt. Niet elke aanval is gericht op Europa, maar Nederlandse gebruikers van Microsoft 365 zitten in de vuurlinie. Het risico groeit naarmate criminelen processen beter kopiëren.
Cijfers van één leverancier laten vooral een trend zien, geen totaalbeeld. Toch is het signaal duidelijk genoeg om preventie te versnellen. Organisaties die alleen op linkscans vertrouwen, lopen achter de feiten aan. Beleidsmaatregelen in de identiteit- en toestemmingslaag zijn nu cruciaal.
De combinatie van sociale engineering en legitieme loginstromen maakt detectie lastiger. Daarom helpt het om telemetrie te verrijken met context, zoals locatie en apparaatstatus. Koppel dat aan heldere governance onder de AVG en de AI-verordening. Zo blijft beveiliging effectief én juridisch houdbaar.
