We willen u waarschuwen voor een nieuwe geavanceerde vorm van phishing die we de laatste tijd regelmatig zien: “Adversary-in-the-Middle” (AiTM) aanvallen. Deze phishingmethode is zo geraffineerd, dat daarmee ook accounts die met MFA (twee-factor-authenticatie) beveiligd zijn gecompromitteerd kunnen worden. Het is dus belangrijk dat u en uw medewerkers hier extra alert op zijn.
Wat is er aan de hand?
Cybercriminelen sturen e-mails met een link naar een nagebootste Microsoft inlogpagina. Op het eerste gezicht lijkt deze pagina 100% echt – het logo, de lay-out, alles lijkt echt. Als u of een medewerker op zo’n link klikt en inlogt, gebeurt er iets verraderlijks: de crimineel “kijkt mee” tussen u en Microsoft in. U voert netjes uw gebruikersnaam, wachtwoord en MFA-code in, maar deze komen terecht bij de aanvaller. U wordt mogelijk gewoon doorgestuurd naar de echte Office-omgeving of u ontvangt een foutmelding. In beide gevallen merkt u niet direct dat er iets mis is. Intussen heeft de hacker uw inlogsessie ‘gestolen’ en kan hij doen alsof hij u is.
Wat kan een hacker daarmee doen?
Met zo’n sessie kan de aanvaller in uw Microsoft 365 account (bijvoorbeeld uw Outlook mailbox) rondkijken en acties uitvoeren zonder uw wachtwoord of MFA te hoeven invoeren. In de praktijk zien we dat hackers bijvoorbeeld mailbox-regels aanmaken om belangrijke e-mails door te sturen of te verbergen. Zo proberen ze onder andere financiële communicatie te manipuleren – denk aan facturen onderscheppen en bankrekeningnummers veranderen naar hun eigen rekening. Dit kan grote financiële schade veroorzaken als het niet op tijd ontdekt wordt.
Wat doet Lemontree hieraan?
Lemontree heeft meerdere beveiligingslagen ingericht in uw Microsoft 365 omgeving om (te proberen) dit soort aanvallen te voorkomen. Zo zorgen we ervoor dat al onze klanten MFA aan hebben staan en dat, waar mogelijk, alleen bedrijfstoestellen toegang krijgen tot de bedrijfsdata. Als u onze Managed Detection and Response dienst afneemt, dan houden we actief verdachte inlogpogingen en mailregels in de gaten. En daarnaast onderzoeken we continu nieuwe beveiligingstechnieken. Ondanks dat is volledig voorkomen helaas niet mogelijk (geen enkel systeem is 100% waterdicht).
Wat u kunt doen
De belangrijkste stap is alert blijven en uw medewerkers goed informeren:
- Wees wantrouwig bij inlog-links in e-mails. Klik niet zomaar op een link die u naar een inlogpagina brengt. Onze tip: type zelf het bekende adres (bijv. office.com) in uw browser, of gebruik een favoriet/bookmark. Een legitieme melding van Microsoft verschijnt vaak ook in uw Teams of Office-app in plaats van alleen via e-mail.
- Controleer de URL van de pagina. Als u toch via een link op een inlogpagina komt, kijk dan bovenin uw browser naar het webadres. Een echte Microsoft-aanmeldpagina heeft bijvoorbeeld login.microsoftonline.com in het adres. Ziet u spelfouten of een andere vreemde domeinnaam? Breek dan direct het inloggen af.
- Geef nooit uw wachtwoord of MFA-code aan iemand anders. Ook niet via telefoon of e-mail. Ons IT-supportteam zal bijvoorbeeld nooit om uw volledige MFA-code vragen. Als u een telefoontje of bericht krijgt dat u niet vertrouwt, verbreek de verbinding en neem zelf contact op met onze bekende supportnummers.
- Meld verdachte situaties. Krijgt u bijvoorbeeld op uw telefoon vanuit het niets een MFA-prompt (“Wilt u inloggen? ja/nee”) zonder dat u zelf aan het inloggen bent? Druk dan op nee en rapporteer dit direct aan de servicedesk. Dit kan betekenen dat iemand anders uw wachtwoord heeft en probeert in te loggen. Hetzelfde geldt als u een e-mail ziet van een collega die ineens een ongebruikelijke toon heeft of om vreemde dingen vraagt – overleg bij twijfel even met die collega via een andere weg.
Waarom deze waarschuwing?
We zien bij meerdere klanten dat dit soort aanvallen zichtbaar toenemen. Het is niet bedoeld om paniek te zaaien, maar juist om u te helpen criminelen een stap voor te blijven. Technische beveiliging is enorm belangrijk (en daar helpen wij u bij), maar goed geïnformeerde en oplettende medewerkers zijn minstens zo cruciaal.
Mocht u vragen hebben over deze specifieke dreiging, of wilt u extra ondersteuning (bijvoorbeeld een korte bewustwordingssessie voor uw team)? Of wilt u horen welke aanvullende technische maatregelen eventueel genomen kunnen worden? Laat het ons alstublieft weten. We staan voor u klaar om samen uw organisatie zo weerbaar mogelijk te maken. Bedankt voor uw aandacht en laten we samen alert blijven!
