Ondanks een internationale politieoperatie in maart 2026 waarbij Microsoft en Europol samen met het onderzoeksteam van eSentire de infrastructuur van het Tycoon2FA-platform ontmantelden, is de dienst inmiddels volledig hersteld. De operators bouwden de phishing-as-a-service (PhaaS) omgeving op nieuwe systemen op, voorzien van extra obfuscatielagen die toekomstige verstoringen aanzienlijk moeten bemoeilijken.Â
Eind april 2026 signaleerde het Threat Response Unit van eSentire een nieuwe campagne waarbij Tycoon2FA een techniek toepast die fundamenteel verschilt van traditionele credential-diefstal: het misbruiken van de legitieme OAuth 2.0 device authorization grant flow van Microsoft.
Hoe de OAuth device code aanval werkt zonder wachtwoorddiefstal
De aanval begint met een e-mail die een koppeling bevat via Trustifi, een legitiem e-mailbeveiligingsplatform dat door de aanvallers wordt misbruikt als click-tracking doorverwijzing. Die koppeling leidt het slachtoffer via vier opeenvolgende obfuscatielagen naar een neppe Microsoft CAPTCHA-pagina, een zogenaamd “HumanCheck”-scherm opgemaakt in de vertrouwde Microsoft-kleurstijl. Op dat punt instructeert de pagina het slachtoffer een apparaatcode te kopiëren en in te voeren op de officiële Microsoft-pagina microsoft.com/devicelogin.
Wat de aanval zo effectief maakt, is dat het slachtoffer volledig interacteert met echte Microsoft-infrastructuur. Er is geen nep-loginpagina, geen wachtwoordonderschepping. De multifactorauthenticatie (MFA) werkt precies zoals bedoeld. Het slachtoffer denkt toegang te verlenen aan een voicemailspeler of een andere schijnbaar onschuldige applicatie, maar keurt in werkelijkheid tokenuitgifte goed aan een door de aanvaller beheerd apparaat. Na die goedkeuring geeft Microsoft via de Microsoft Authentication Broker zowel access- als refreshtokens uit. Omdat de broker tokens kan doorgeven aan aangrenzende Microsoft-diensten, geeft één enkele toestemming de aanvaller werkende toegang tot Exchange, Microsoft Graph en OneDrive, zonder verdere interactie van het slachtoffer.
Dit is een wezenlijk andere aanvalsbenadering dan de varianten die wij eerder beschreven in ons overzicht van de meest voorkomende vormen van phishing. Daar waar klassieke phishing draait om het afhandig maken van inloggegevens, verandert device code phishing wat MFA autoriseert, niet of het plaatsvindt.
Waarom MFA in deze aanvalsvorm onvoldoende bescherming biedt
De kern van het probleem is dat de aanval niet om MFA heen gaat, maar er juist gebruik van maakt. Het slachtoffer doorloopt het volledige verificatieproces op legitieme Microsoft-pagina’s. Daardoor verschijnen de gegenereerde tokens in Entra-telemetrie als een gewone Microsoft-applicatie, wat de zogenaamde unverified-publisher-detecties omzeilt die veel klassieke OAuth-phishingcampagnes verraden. Beveiligingsteams die uitsluitend letten op afwijkende inlogpogingen of verdachte externe applicaties, zullen deze methode doorgaans niet opmerken totdat er al schade is aangericht.
De snelle verspreiding van deze techniek is veelzeggend. Beveiligingsonderzoeker Push Security documenteerde eerder dit jaar een toename van 37 keer in aanvallen die gebruikmaken van device code phishing. Inmiddels ondersteunen minimaal tien PhaaS-platforms en privétools deze methode, wat aangeeft dat de drempel voor criminelen om deze aanvalsvorm in te zetten sterk is gedaald.
Geavanceerde detectievermijding beschermt de aanvalskit zelf
Het Tycoon2FA-platform investeert zwaar in het onzichtbaar blijven voor onderzoekers en geautomatiseerde scanners. De kit detecteert actief headless browsers zoals Selenium, Puppeteer en Playwright, herkent analysediensten zoals Burp Suite, en blokkeert verkeer afkomstig van VPN-aanbieders, cloudomgevingen en sandboxplatforms. De ingebouwde blokkeerlijst bevat op dit moment 230 aanbieders en wordt continu bijgewerkt. Bezoekers die als analysesysteem worden herkend, worden automatisch doorgestuurd naar een legitieme Microsoft-pagina, waardoor de aanvalsinfrastructuur buiten het zicht van beveiligingsonderzoekers blijft. Campagnes bevatten bovendien ingebouwde vervaldatums, wat forensische analyse achteraf bemoeilijkt.
Verdedigingsmaatregelen tegen device code phishing en OAuth-misbruik
De primaire verdedigingslijn ligt in het beperken van de OAuth device code flow voor gebruikers die hier geen legitieme bedrijfsbehoefte aan hebben. Via Conditional Access-beleid in Microsoft Entra ID kunnen beheerders de device authorization grant beperken tot specifieke apparaten of netwerken. Daarnaast is het monitoren van abnormale OAuth-toestemmingen en ongebruikelijke tokenuitgifte een essentieel detectiemiddel, zeker wanneer Microsoft Authentication Broker als autoriserende applicatie verschijnt in contexten die daarvoor geen zakelijke rechtvaardiging hebben.
Gebruikersvoorlichting blijft van groot belang, maar met een andere focus dan bij traditionele phishing. Medewerkers moeten begrijpen dat het invoeren van een code op een officiële Microsoft-pagina gevaarlijk kan zijn als ze daartoe zijn aangespoord via een e-mail of een onverwacht scherm. De authenticiteit van de pagina zegt niets over de legitimiteit van het verzoek. Organisaties die e-mailbeveiliging en OAuth-governance centraal willen aanpakken, kunnen daarvoor terecht bij geïntegreerde platforms zoals FortiMail Workspace Security, dat bescherming biedt over e-mail, browser en samenwerkingstools in één platform.
Tycoon2FA illustreert hoe aanvallers zich aanpassen aan verbeterde beveiligingslagen: niet door ze te kraken, maar door de mechanismen ervan tegen gebruikers in te zetten. Organisaties die Microsoft 365 centraal in hun bedrijfsvoering hebben staan, doen er goed aan hun OAuth-beleid, toegangscontroles en detectiecapaciteiten op korte termijn kritisch te evalueren.Â
