De FBI waarschuwt Microsoft 365-gebruikers en hun organisaties voor 'device code phishing', waarbij aanvallers toegang tot accounts proberen te krijgen. Microsoft biedt 'device code authentication' voor apparaten met beperkte invoermogelijkheden, zoals bijvoorbeeld smart-tv's, internet of things-apparaten en printers. Een gebruiker moet hiervoor een aparte code door Microsoft laten genereren en die vervolgens bij het inloggen opgeven. Microsoft zal dan een token genereren waarmee het 'invoer beperkte' apparaat kan inloggen.

Bij device code phishing zijn het echter de aanvallers die een device code laten genereren. Deze device code sturen de aanvallers, als onderdeel van een phishingmail, samen met een link naar een echte Microsoft-inlogpagina, naar het slachtoffer. Het slachtoffer logt vervolgens via de officiële Microsoft-inlogpagina in en vult daarbij de opgegeven device code in. Vervolgens genereert Microsoft een token voor het apparaat dat de device code had opgevraagd. De aanvallers gebruiken vervolgens dit token om op het Microsoft-account van het slachtoffer in te loggen en zo bijvoorbeeld vertrouwelijke informatie te stelen of verdere aanvallen uit te voeren.

"De aanvaller heeft nu toegang tot Microsoft 365-diensten zoals Outlook, Teams en OneDrive, zonder dat hiervoor een wachtwoord nodig is of aanvullende MFA-challengens moeten worden uitgevoerd", aldus de FBI. De Amerikaanse opsporingsdienst waarschuwt in een nieuw Public Service Announcement voor een specifieke dienst die criminelen hiervoor gebruiken, met de naam Kali365. Het gaat hier om een Phishing-as-a-Service (PhaaS) platform dat device code phishing faciliteert. Om dergelijke aanvallen tegen te gaan adviseert de FBI organisaties om de 'device code flow' voor alle gebruikers te beperken.