Device code-phishing växer snabbt. Angripare har ökat aktiviteten med 37 gånger i takt med att nya phishingkit sprids online. Det som tidigare krävde teknisk kompetens levereras nu som färdiga verktyg.
Den här förändringen gör en diskret metod till ett brett hot.
Angripare utnyttjar betrodda inloggningsflöden
Angripare missbrukar en legitim enhetsinloggning för att genomföra attacken. De genererar en inloggningskod som är kopplad till deras egen session. Sedan lurar de offret att ange koden på en riktig inloggningssida.
Processen känns normal för användaren. Sidan är äkta och inget verkar avvikande.
När offret anger koden ger de angriparen direkt åtkomst. Angriparen behöver aldrig lösenordet.
Phishingkit driver spridningen
Phishingkit ligger bakom den snabba ökningen av denna metod. De tar bort tekniska hinder och gör det möjligt för fler angripare att genomföra attacker.
De flesta kit innehåller:
- Förbyggda phishing-scenarier
- Mallar som efterliknar betrodda tjänster
- Färdiga hostinglösningar
- Grundläggande skydd mot automatiserad upptäckt
Dessa verktyg förvandlar en riktad metod till en skalbar operation.
Angripare kringgår MFA genom användarens handling
Den här tekniken kringgår stark autentisering genom sin design. Offret genomför en legitim inloggning och godkänner åtkomst själv.
Därför stoppar inte MFA eller passkeys attacken.
Efter godkännandet får angriparen giltiga sessionstokens. De kan behålla åtkomsten även om användaren ändrar sitt lösenord senare.
Angripare riktar in sig på företagsmiljöer
Angripare fokuserar främst på företagskonton, särskilt i miljöer som Microsoft 365. De utformar lockbeten som speglar vardagliga arbetsflöden.
Vanliga exempel är:
- Förfrågningar om dokumentåtkomst
- Mötesinbjudningar
- Säkerhetsnotiser
Dessa meddelanden smälter in i normal aktivitet. Användare följer ofta stegen utan att tveka.
Vissa kampanjer automatiserar hela processen, vilket ökar både hastigheten och träffsäkerheten.
Upptäcktssystem har svårt att identifiera metoden
Den här attacken undviker de flesta traditionella phishing-signaler. Säkerhetssystem ser normal autentiseringsaktivitet i stället för misstänkt beteende.
Flera faktorer gör upptäckten svårare:
- Användare interagerar med riktiga inloggningssidor
- System registrerar giltiga inloggningar
- Ingen falsk insamling av inloggningsuppgifter sker
- Användarens handlingar framstår som avsiktliga
Detta skapar ett glapp mellan synlighet och faktisk risk.
Slutsats
Device code-phishing visar hur angripare anpassar sig till starkare skydd. De behöver inte längre bryta sig in i autentiseringssystem. De använder dem.
Den förändringen tar bort tydliga varningssignaler och gör attacker svårare att upptäcka.
När phishingkit fortsätter att spridas kommer metoden sannolikt att växa ytterligare. Säkerhetsteam måste fokusera på användardrivna åtkomstmönster, inte bara på om en inloggning är giltig.
0 svar till ”Device code-phishingattacker ökar 37 gånger”