blog, informatiebeveiliging
Phishing: zo misleiden criminelen Microsoft-gebruikers
Cybercriminelen hebben het gemunt op Microsoft-gebruikers. Met mailtjes en websites die van Microsoft afkomstig lijken maken ze de slachtoffers persoonlijke informatie of betalingsgegevens afhandig. Herken jij deze listige trucs?
We ontvangen ze allemaal wel eens: malafide mailtjes die toch echt afkomstig lijken van een vertrouwde partner, leverancier of overheidsinstantie. Volgens de afzender moet je snel een betaling voldoen, anders volgen er boetes of een beslaglegging. Of je moet snel even inloggen, anders wordt je account geblokkeerd. De aanvaller onderschept vervolgens de inloggegevens en neemt het account over. Er is in ieder geval haast geboden.
Deze vorm van oplichting noemen we ook wel ‘brand phishing’. De aanvaller maakt de officiële website van een bekend bedrijf zo goed mogelijk na en probeert het slachtoffer daar via een link in bijvoorbeeld een e-mail naartoe te leiden. De nagemaakte website bevat vaak een formulier waar bezoekers inloggegevens, betalingsgegevens of andere persoonlijke informatie kunnen achterlaten.
Microsoft-imitaties populair
In het vierde kwartaal van 2021 waren de meeste phishingpogingen wereldwijd uit naam van pakketbezorger DHL, zo blijkt uit een Brand Phishing Report van Check Point. Meestal luidt het bericht dat een zending onvoldoende is gefrankeerd. Het nog openstaande bedrag kan via de link in het e-mailbericht worden voldaan. Als je net een pakketje met DHL hebt verstuurd, is het verleidelijk om zo’n bericht voor waar aan te nemen.
Nummer 2 op de lijst - en voormalig koploper - is Microsoft. Zo’n twintig procent van alle pogingen tot phishing wereldwijd had betrekking op deze IT-gigant. Volgens de onderzoekers proberen cybercriminelen te profiteren van de grote groep werknemers die sinds het uitbreken van de COVID-19-pandemie afwisselend thuis en op kantoor werken. Ze gokken erop dat werknemers thuis minder alert zijn. Werken ze dagelijks met Microsoft 365, dan vinden ze het ook niet vreemd een mailtje van Microsoft te ontvangen.
Drie voorbeelden
Hoe cybercriminelen Microsoft-gebruikers in de luren proberen te leggen? We geven enkele voorbeelden:
1. Datadiefstal via nagemaakte documenten
Enkele maanden geleden waarschuwde Microsoft voor een phishingcampagne gericht op Office 365-gebruikers. De potentiële slachtoffers ontvingen een e-mail in Microsoft-opmaak met een link naar een gedeeld document op Microsoft SharePoint. Dit document zou zogenaamd belangrijke informatie bevatten, bijvoorbeeld over bonussen of prijswijzigingen. De link leidde echter naar een nagemaakte Office 365-phishingpagina waar inloggegevens afhandig werden gemaakt.
Volgens Microsoft stak deze phishingcampagne ‘sneakier than usual’ in elkaar. De aanvallers maakten van meerdere technieken gebruik om de detectie te omzeilen. Microsoft stelde gebruikers van Office 365 echter gerust. “Microsoft Defender for Office 365 detecteert en blokkeert deze e-mails.”
2. Gevaarlijke mails over wachtwoord-reset
Veel bedrijven hebben een beleid dat werknemers verplicht periodiek het gebruikerswachtwoord te wijzigen. Bijvoorbeeld elke drie maanden.
Van dit mechanisme maken cybercriminelen echter dankbaar gebruik. Ze sturen op grote schaal ‘herinneringsmailtjes’, met daarin bijvoorbeeld de Microsoft- en Office 365-logo’s en de waarschuwing dat het wachtwoord verloopt. De ontvanger van de mail krijgt dan de mogelijkheid om op ‘Keep my current password’ te klikken. Een klik op de link is voldoende om malware binnen te halen.
3. ‘Licentieverlenging’ zorgt voor malware
In de zomer van 2021 waarschuwde Microsoft voor de BazaLoader-malware. De dreiging die van deze malware uitgaat, zou veel groter zijn dan tot dan toe werd aangenomen.
De oplichters beweren in een overtuigende phishingmail dat een licentie op Microsoft 365-software bijna verloopt. Als het slachtoffer geen actie onderneemt, wordt de licentie automatisch omgezet in een Premium-licentie met een hoger prijskaartje. Een belletje naar zogenaamd het callcenter van Microsoft kan dit voorkomen.
De ‘callcentermedewerker’ laat de beller vervolgens naar een Excel-bestand navigeren dat malware bevat. Deze malware geeft de aanvaller op afstand controle over het toetsenbord van de computer, die zo bijvoorbeeld de inloggegevens voor het bedrijfsnetwerk kan afvangen. Volgens Microsoft kunnen aanvallen zich vervolgens snel verspreiden binnen het netwerk, met bijvoorbeeld datadiefstal en ransomwarebesmettingen tot gevolg.
Leer cybercrime herkennen
Het is goed om van dit soort trucs op de hoogte te blijven, zeker als je met Microsoft-producten werkt. Als het bijvoorbeeld dagelijkse kost is om documenten op SharePoint te openen, glipt een malafide document er snel doorheen.
Bewustwordingscampagnes en trainingen in gevaarherkenning helpen dit voorkomen door de ‘menselijke firewall’ te versterken. Meer weten? Neem dan contact met ons op:

Joris van der Sligte
Joris is Security Officer en teamcoach van ons projectteam. Hij is expert op het gebied van netwerk- en systeembeheer en de beveiliging die hier mee gemoeid is. Hij begeleidt alle projecten bij onze opdrachtgevers en brengt deze tot een goed eind. Hij staat ook klaar als de puntjes nog niet helemaal op de i staan.