Soms herken je phishing direct. Slechte opmaak, vreemde zinnen of een afzender die net niet klopt. Maar soms is het tegenovergestelde waar. Alles voelt logisch. Alles ziet eruit zoals je het verwacht. Juist dát maakt deze aanvallen zo gevaarlijk. In dit soort situaties is niet alleen de ontvanger het doelwit. De hele organisatie speelt een rol. Een aanvaller maakt gebruik van een legitieme Microsoft 365 omgeving als distributiekanaal. Dat kan alleen als er al een account binnen die organisatie is overgenomen. Het vertrouwen is dan al opgebouwd, nog vóórdat jij iets hebt aangeklikt.
Ook wij krijgen te maken met Phishing
Soms leeft de illusie dat cyber security bedrijven geen phishing emails ontvangen. Veel cybercriminelen maken geen onderscheid in wie of wat een phishing email ontvangt. Onlangs kregen wij een opvallende mail onder ogen. Een bericht dat eruitzag als een standaard melding dat iemand een bestand met je heeft gedeeld, in dit geval ”voorstel (Proposal)”. We krijgen vaker aanvragen via een .pdf document, daarnaast klopt de afzender en bijbehorende context. De link verwees niet naar een vaag domein, maar naar een echte SharePoint omgeving van hetzelfde bedrijf als die de mail verzond. Precies daarom zorgden dit voor twijfel, ook bij ons. Uiteraard waren wij vanuit onze expertise nieuwsgierig en zijn wij op een veilige en gecontroleerde manier gaan uitzoeken wat hier aan de hand was.
Het signaal dat vaak wordt gemist
Bij klassieke phishing staat bijna alles op infrastructuur van de aanvaller. Dat was hier niet zo. De URL wees naar een echte tenant en zelfs naar een persoonlijke OneDrive locatie van een gebruiker binnen die tenant. Zulke links ontstaan normaal alleen als iemand daadwerkelijk een bestand deelt vanuit Microsoft 365.
Dat zien we vaker bij dit soort incidenten. Eerst wordt een medewerker gephisht. Daarna logt de aanvaller in en benadert nieuwe slachtoffers vanuit het echte account. Mail vanaf het juiste domein en via echte Microsoft infrastructuur komt eenvoudiger door technische filters heen en voelt voor jou automatisch betrouwbaarder.
Een pdf als Trojaans Paard
In deze case ging het om een gedeelde PDF. Op het eerste gezicht onschuldig. Iemand deelt een document met je. De kwaadaardige stap zat niet in de SharePoint link zelf, maar in wat er daarna gebeurde.
De metadata van de PDF vertelt een interessant verhaal. Het document is aangemaakt met Microsoft Word for Microsoft 365. Tegelijkertijd staat de auteur geregistreerd als PixDev Limited, een webdesignbedrijf uit Ghana. Ook de creatietijd past niet bij de context van de organisatie. Los van elkaar is dat geen sluitend bewijs. Samen vormt het wel een logisch geheel. Een aanvaller die het document heeft gemaakt en dit via een gecompromitteerde OneDrive deelt.
Wat zit er echt achter?
De link in de PDF leidde naar een phishingkit die de Microsoft login nauwkeurig nadeed. Het doel was niet alleen je wachtwoord. Ook MFA codes werden actief meegenomen.
De eerste laag bestond uit sterk geobfusceerde JavaScript. De code bouwde een versleutelde base64 blob op, decrypt die lokaal en voerde daarna de volgende fase uit. Door die stap gecontroleerd zichtbaar te maken, zonder de code direct te laten draaien, konden we analyseren wat er gebeurde.
Daarna volgde een preloader met duidelijke anti analyse technieken. De kit haalde gegevens uit de URL, laadde bekende libraries zoals jQuery en Bootstrap en trok extra scripts binnen vanaf een externe cloud host. Tegelijkertijd werd gecontroleerd op bots, analyse tools en debuggedrag. Als iets verdacht leek, stopte de flow.
Pas daarna verscheen de nep Microsoft login. Inclusief ondersteuning voor meerdere MFA methodes zoals push, codes via sms of authenticator apps. De backend communiceerde actief over status en sessies. Dit laat zien hoe volwassen dit soort tooling inmiddels is. Phishing draait allang niet meer alleen om wachtwoorden.
Waarom dit zo goed werkt
De kracht van deze aanval zit in vertrouwen. Je start op een Microsoft domein binnen de eigen tenant. Alles voelt herkenbaar. Pas later word je subtiel verder gestuurd. Niet via de SharePoint link zelf, maar via een knop in een document dat je al vertrouwt.
Als zo’n mail ook nog eens afkomstig is van een echt medewerkeraccount, klopt de toon automatisch beter. Dat maakt de stap om te klikken kleiner dan bij willekeurige phishing.
Wat kun je hier tegen doen?
Het begint bij realisme. Een Microsoft link is geen garantie meer voor veiligheid.
Krijg je een mail over een gedeeld bestand dat je niet verwacht, behandel het dan als verdacht. Ook als het een SharePoint of OneDrive link is. Open je de share toch, let dan goed op het moment waarop je wordt doorgestuurd naar iets buiten Microsoft.
Een PDF die vraagt om te klikken om het document te bekijken of te verifiëren is vaak het kantelpunt. Controleer of het bestand normaal in SharePoint te openen is zonder extra knoppen. En twijfel je, verifieer het via een ander kanaal bij de afzender.
Scherp blijven dus!
Deze case laat zien hoe high trust phishing eruitziet. Echte Microsoft infrastructuur wordt gebruikt als verpakking. De kwaadaardige stap zit pas later in de keten.
Het extra zorgelijke is dat dit vaak wijst op een gecompromitteerd account binnen de organisatie. In dat geval heb je niet alleen te maken met een phishingmail, maar met een signaal dat een aanvaller al binnen is en de tenant actief gebruikt om zich verder te verspreiden. Dat vraagt om actie, niet alleen bewustwording.
Blijf in controle over technische kwetsbaarheden
Veel organisaties laten periodiek een pentest uitvoeren om inzicht te krijgen in hun technische beveiliging. In de praktijk merken we dat veel relaties daarnaast behoefte hebben aan continu inzicht in kwetsbaarheden, juist tussen deze testmomenten door. Met Tozetta Reports voorzien we in beide: het uitvoeren van periodieke pentests voor diepgaande analyse én dagelijkse technische vulnerability scans voor doorlopend overzicht, gecombineerd met directe samenwerking met onze ethical hackers. Deze aanpak kan aanvullend op bestaande pentests worden ingezet, maar is ook los af te nemen.
Ontdek wat Tozetta voor jouw organisatie kan betekenen. Neem contact op of lees meer over Tozetta Reports.
Kom in contact met Tozetta
- Gratis advies
- Vrijblijvend
- Vernieuwde inzichten
