MFA skyddar inte mot device code phishing — så skyddar du dig

Över 340 Microsoft 365-organisationer har komprometterats sedan februari 2026 genom en teknik som kallas device code phishing. Bakom attackerna står ryska hotaktörer — Storm-2372, APT29 och flera andra grupper.

Det som gör attacken farlig: MFA hjälper inte. Offret genomför själv MFA-verifieringen åt angriparen.

Hur fungerar det?

Angriparen skickar ett phishing-meddelande som leder offret till Microsofts legitima device code-inloggningssida (microsoft.com/devicelogin). Offret matar in en kod, loggar in med sitt konto och godkänner MFA-prompten — precis som vanligt.

Men koden tillhör angriparens session. Resultatet: angriparen får en refresh-token som ger persistent åtkomst till kontot. Tokens överlever lösenordsbyten. Standardinställd MFA ger noll skydd.

Kampanjen riktar sig mot bygg, sjukvård, juridik, offentlig sektor och ideella organisationer. Cloudflare Workers och Railway-plattformen används för att dölja infrastrukturen.

Varför detta drabbar svenska SMF

De flesta M365 Business Premium-tenanter har inte blockerat device code-autentisering i Conditional Access. Det är inte aktiverat som standard. Om du inte explicit har stängt av det — är dina konton exponerade.

Vad du ska göra nu

1. Skapa en Conditional Access-policy som blockerar device code flow
2. Granska Entra ID-inloggningsloggar för device code-autentiseringsförsök
3. Återkalla refresh-tokens för misstänkta konton
4. Aktivera Continuous Access Evaluation (CAE) för att begränsa tokens livslängd
5. Informera användare — detta är inte en vanlig phishing-attack

Hur vi kan hjälpa

Vi erbjuder en OAuth Security Check — en snabb genomgång (2-3 timmar) där vi blockerar device code flow, granskar era CA-policyer och verifierar att inga konton redan är komprometterade. Kontakta oss.

Referens: The Hacker News — Device Code Phishing Hits 340+ Microsoft 365 Orgs