Device Code Phishing: η «έξυπνη» επίθεση που δεν μοιάζει με phishing
Αν χρησιμοποιείς Microsoft 365, πιθανότατα έχεις ήδη θωρακίσει το περιβάλλον σου με SPF/DKIM/DMARC, έχεις ενεργοποιήσει MFA και νιώθεις σχετικά ασφαλής. Και κάπου εδώ εμφανίζεται το Device Code Phishing: μια επίθεση που δεν βασίζεται στο να πατήσεις λάθος link, αλλά στο να κάνεις σωστό login σε σωστή σελίδα της Microsoft, για λάθος λόγο.
Το πιο επικίνδυνο στοιχείο είναι ότι η επίθεση είναι ψυχολογική και «καθαρή». Ο χρήστης βλέπει απολύτως νόμιμο Microsoft authentication flow, δεν κατεβάζει κακόβουλο λογισμικό και το IT συχνά δεν λαμβάνει έγκαιρα alerts. Για οργανισμούς που βασίζονται καθημερινά σε Outlook, SharePoint, OneDrive και Teams, πρόκειται για πραγματικό εφιάλτη.
Τι είναι το Device Code Authentication (με απλά λόγια)
Το Device Code Authentication είναι ένας τρόπος σύνδεσης όπου μια εφαρμογή ή συσκευή εμφανίζει έναν σύντομο κωδικό (π.χ. “ABCD-EFGH”) και ζητά από τον χρήστη να μεταβεί σε ένα επίσημο Microsoft URL για να τον πληκτρολογήσει και να συνδεθεί.
Χρησιμοποιείται σε συσκευές με περιορισμένο input (π.χ. TV, IoT, παλιές συσκευές ή CLI εργαλεία). Το πρόβλημα δεν είναι η ίδια η λειτουργία, αλλά το γεγονός ότι ένας επιτιθέμενος μπορεί να δημιουργήσει δικό του device code και να πείσει τον χρήστη να τον εγκρίνει, παραχωρώντας έτσι πρόσβαση στον λογαριασμό του.
Πώς γίνεται η επίθεση βήμα-βήμα
1) Ο δράστης σε προσεγγίζει από “μη-email” κανάλι
Σε πολλές περιπτώσεις, η επίθεση δεν ξεκινά από email, αλλά από WhatsApp, Signal ή ακόμα και από μήνυμα σε εταιρικό chat. Το μήνυμα συνήθως περιέχει κοινωνική μηχανική τύπου Phishing: «κάνε verify τον λογαριασμό σου» ή «μπες άμεσα σε αυτό το meeting/έγγραφο».
2) Σου δίνουν έναν device code και ένα απολύτως legit Microsoft URL
Εδώ βρίσκεται η παγίδα. Ο χρήστης δεν οδηγείται σε ψεύτικο site. Οδηγείται στο κανονικό Microsoft login flow, με την οδηγία να εισάγει τον συγκεκριμένο device code.
3) Ο χρήστης κάνει κανονικό login και εγκρίνει πρόσβαση
Ο χρήστης εισάγει εταιρικά credentials και εγκρίνει MFA, επειδή το περιβάλλον φαίνεται απόλυτα νόμιμο. Όμως η συνεδρία που εγκρίνεται δεν είναι δική του – είναι η συνεδρία του επιτιθέμενου.
4) Ο επιτιθέμενος αποκτά πρόσβαση μέσω session tokens
Μετά την επιτυχή έγκριση, ο δράστης αποκτά πρόσβαση σε mailbox, SharePoint και OneDrive χρησιμοποιώντας ενεργά Tokens, συχνά χωρίς να γίνει άμεσα αντιληπτός.
Γιατί αυτή η επίθεση “περνάει” ακόμα και σε επιχειρήσεις με MFA
Το MFA δεν παρακάμπτεται τεχνικά. Ο χρήστης το εγκρίνει ο ίδιος. Η λογική θυμίζει έντονα το φαινόμενο του MFA fatigue, όπου οι χρήστες εγκρίνουν αιτήματα απλώς για να «φύγει» η ειδοποίηση.
Το κοινό μοτίβο της επίθεσης
- Social engineering αντί για brute force.
- Νόμιμα login flows αντί για fake σελίδες.
- Ανθρώπινος παράγοντας αντί για τεχνικό exploit.
Σημάδια ότι μπορεί να τρέχει device code phishing στην εταιρεία
Ύποπτες συνδέσεις χωρίς προφανή λογική
Για παράδειγμα, χρήστης που εργάζεται αποκλειστικά από Ελλάδα, αλλά εμφανίζεται sign-in από διαφορετική χώρα ή ασυνήθιστο ASN, ακολουθούμενο από πρόσβαση σε OneDrive ή SharePoint.
Consent ή πρόσβαση σε άγνωστες εφαρμογές
Οι επιτιθέμενοι συχνά αξιοποιούν τη συνεδρία για πρόσβαση σε εφαρμογές. Απαιτείται έλεγχος στα sign-in logs και στις enterprise applications.
Ξαφνικοί κανόνες προώθησης email
Συνηθισμένη μετα-εκμετάλλευση: forward rules, απόκρυψη alerts και σιωπηλή παρακολούθηση επικοινωνίας.
Πώς το μπλοκάρεις πρακτικά στο Microsoft 365
1) Περιορισμός ή απενεργοποίηση Device Code Flow
Αν δεν υπάρχει επιχειρησιακή ανάγκη για device code authentication, ο περιορισμός του μειώνει άμεσα την επιφάνεια επίθεσης.
2) Ισχυρές πολιτικές Conditional Access
Το Conditional Access στο Entra λειτουργεί ως βασικό φίλτρο άμυνας: απαιτεί compliant συσκευές, μπλοκάρει ύποπτα sign-ins και επιβάλλει κανόνες πρόσβασης βάσει ρίσκου, μέσω Conditional πολιτικών.
Πρακτικά guardrails που αποδίδουν
- Require compliant device (Intune-managed)
- Μπλοκάρισμα legacy ή ύποπτων authentication patterns
- Geo-based κανόνες με εξαιρέσεις για business ανάγκες
- Sign-in risk policies όπου είναι διαθέσιμες
3) Προστασία απέναντι σε token replay
Ακόμα και αν αποκτηθούν tokens, στόχος είναι να μη μπορούν να χρησιμοποιηθούν από άλλο περιβάλλον ή συσκευή. Τα σύγχρονα Entra controls μπορούν να περιορίσουν τέτοιου είδους replay επιθέσεις.
4) Phishing-resistant MFA όπου είναι εφικτό
Τα push approvals είναι εύκολα, αλλά ευάλωτα σε social engineering. Για κρίσιμους χρήστες, απαιτούνται αυστηρότερα σενάρια έγκρισης.
5) Εκπαίδευση προσωπικού με πραγματικά σενάρια
Όχι γενικά «προσέχουμε phishing», αλλά ξεκάθαρος κανόνας: δεν εισάγουμε device codes που λαμβάνουμε μέσω chat και δεν εγκρίνουμε login που δεν ξεκινήσαμε εμείς.
Mini πολιτική που μπορεί να εφαρμοστεί άμεσα
- Δεν εκτελούμε login οδηγίες που έρχονται από chat.
- Device codes εγκρίνονται μόνο αν ξεκίνησε η διαδικασία από IT.
- Επείγον meeting με code θεωρείται ύποπτο.
- MFA prompt χωρίς login → Deny & report.
- Δεν μοιραζόμαστε screenshots ή codes.
Γιατί αυτό το άρθρο φέρνει ουσιαστικό organic traffic
Στοχεύει αναζητήσεις υψηλής πρόθεσης, από IT admins και decision makers που ψάχνουν πρακτικές λύσεις και όχι γενική πληροφόρηση. Αυτό σημαίνει λιγότερα views, αλλά περισσότερους πραγματικούς leads.
Συμπέρασμα
Το Device Code Phishing είναι από τις πιο ύπουλες απειλές στο Microsoft 365, γιατί εκμεταλλεύεται την εμπιστοσύνη του χρήστη. Με σωστές πολιτικές, έλεγχο authentication flows και στοχευμένη εκπαίδευση, ο κίνδυνος μπορεί να μειωθεί δραστικά.
Επικοινωνήστε με τη DataShield για να ελέγξουμε τις ρυθμίσεις Microsoft 365 και Entra ID της επιχείρησής σας. Θα σας προτείνουμε πρακτικά, εφαρμόσιμα μέτρα για άμεση μείωση του ρίσκου.
