AI‑drevet phishing misbruger legitim Microsoft‑login

Eskil Sørensen

05.04.2026 15:38

Subtitle

En ny, automatiseret phishingkampagne misbruger OAuth‑baseret device code‑login til at omgå MFA og kompromittere konti i stor skala.

Microsoft Defender Security Research har identificeret en omfattende phishingkampagne, der markerer et tydeligt spring i både teknisk raffinement og effektivitet. Kampagnen misbruger den legitime device code authentication flow i Microsofts identitetsinfrastruktur, hvilket er en funktion designet til enheder med begrænsede brugergrænseflader som smart‑tv’er og printere – og kombinerer den med AI, cloud‑automatisering og phishing‑as‑a‑service.

Det skriver Microsoftw security i en blog, der er tilgængelig hos Microsoft.

Tidligere angreb med device code‑phishing har typisk været manuelle og relativt begrænsede. Denne kampagne, der knyttes til værktøjssættet EvilTokens, er derimod fuldt automatiseret fra ende til ende. Trusselsaktørerne anvender cloud‑platforme som Railway.com, Vercel, Cloudflare Workers og AWS Lambda til at oprette tusindvis af kortlivede backend‑noder, som genererer device‑koder i realtid. Resultatet er, at den ellers snævre 15‑minutters gyldighedsperiode først starter i det øjeblik, offeret klikker – ikke når phishingmailen sendes.

Nyt ord: Hyperpersonaliseret phishing

Phishing‑lokkemidlerne er hyper‑personaliserede. Generativ AI bruges til at skrive mails, der matcher modtagerens rolle og arbejdskontekst, fx fakturaer, udbudsmateriale eller dokumentdeling. Det øger sandsynligheden for interaktion markant. I stedet for at stjæle adgangskoder guides brugeren til den ægte Microsoft‑side microsoft.com/devicelogin, hvor vedkommende indtaster en kode, som i virkeligheden autoriserer angriberens session.

Teknisk udnytter angrebet en grundlæggende svaghed i device code‑flowet: autentificeringen er ikke stærkt bundet til den oprindelige session. Når brugeren gennemfører login – ofte med både password og MFA – udstedes der gyldige adgangs‑ og refresh‑tokens direkte til angriberen. Kampagnen reducerer friktionen yderligere ved at kopiere device‑koden direkte til brugerens udklipsholder via browser‑API’er.

Efter kompromittering følger en hurtig, men selektiv fase med rekognoscering og fastholdelse. Ved hjælp af Microsoft Graph kortlægges organisation, roller og rettigheder, og højværdimål – særligt finansielle og ledelsesmæssige funktioner – udvælges. Her ses oprettelse af skjulte inbox‑regler, e‑maileksfiltration og i nogle tilfælde registrering af nye enheder for at opnå mere vedvarende adgang.

Microsoft vurderer kampagnen som en klar eskalering i misbrug af legitime cloud‑funktioner. Den demonstrerer, hvordan kombinationen af AI, cloud‑infrastruktur og velkendte loginflows kan gøre klassisk phishing både mere troværdig og vanskeligere at opdage – netop fordi den i vid udstrækning ser “korrekt” ud.

Læs mere

https://www.microsoft.com/en-us/security/blog/2026/04/06/ai-enabled-device-code-phishing-campaign-april-2026/

Information