Enhetskod-nätfiske slår rekord — hundratals M365-konton kapas dagligen
Microsoft rapporterar 10-15 kampanjer per dygn. Så blockerar du attacken i Conditional Access.
Microsoft rapporterar att 10-15 enhetskod-nätfiskekampanjer körs varje dygn sedan mitten av mars 2026. Hundratals M365-konton komprometteras dagligen. Det här är inte ett teoretiskt hot — det pågår just nu.
Så fungerar attacken
Angriparen skickar ett AI-genererat mejl som ser ut att komma från en kollega eller affärskontakt. Mejlet innehåller en länk till Microsofts legitima enhetskod-inloggningssida (microsoft.com/devicelogin) och en kod att mata in.
När offret matar in koden och autentiserar sig med MFA ger de angriparen en giltig OAuth-token. Angriparen får full tillgång till brevlådan, kan skapa inkorgsregler för att dölja spår, och registrerar egna enheter för fortsatt åtkomst.
Det som gör attacken effektiv: allt sker på Microsofts riktiga inloggningssida. Det finns ingen falsk webbplats att upptäcka.
Vilka drabbas
Finans-, chefs- och administratörsanvändare är främsta mål. AI-genererade mejl anpassas efter mottagarens roll — RFP:er till säljare, fakturor till ekonomi, arbetsflöden till produktion.
Vad du bör göra
- Blockera enhetskodflödet i
Conditional Access. De flesta organisationer behöver inte device code flow. Skapa en CA-policy som blockerar det för alla utom undantagsgrupper. - Granska inloggningsloggar. Filtrera på
deviceCodesom autentiseringsmetod i Entra ID-loggar. Ovanliga mönster = röd flagga. - Aktivera riskbaserade CA-policyer.
Sign-in riskochUser riski Entra ID Protection fångar avvikande tokenbeteende.
Så kan vi hjälpa
Vi erbjuder en Conditional Access-genomgång där vi blockerar device code flow och granskar inloggningsloggar. Tar 2-3 timmar för de flesta miljöer. Hör av dig så bokar vi in det.