Security

AiTM-phishingcampagne treft Microsoft 365-gebruikers

3 min leestijd

Samenvatting

Microsoft heeft details gedeeld over een grootschalige adversary-in-the-middle (AiTM)-phishingcampagne die nep-onderzoeken naar gedragscodes gebruikte om authenticatietokens te stelen. De aanval combineerde geraffineerde social engineering, gefaseerde CAPTCHA-pagina’s en een legitieme Microsoft-aanmeldingsflow, en onderstreept waarom phishingbestendige beveiliging en sterkere e-mailverdediging belangrijk zijn.

Hulp nodig met Security?Praat met een expert

Inleiding

Microsoft heeft een geavanceerde phishingcampagne ontdekt die gericht was op meer dan 35.000 gebruikers in ruim 13.000 organisaties in 26 landen. Voor Microsoft 365- en securitybeheerders is dit relevant omdat de aanval een adversary-in-the-middle (AiTM)-techniek gebruikte om authenticatietokens te onderscheppen. Daarmee kan niet-phishingbestendige MFA worden omzeild en krijgen aanvallers direct toegang tot accounts.

Wat is nieuw

Tussen 14 en 16 april 2026 observeerde Microsoft een meerfasige phishingoperatie met lokmiddelen rond gedragscode en interne compliance. De berichten waren ontworpen om eruit te zien als legitieme interne communicatie en werden verzonden als geauthenticeerde e-mails vanaf door aanvallers gecontroleerde domeinen via een legitieme e-mailbezorgdienst.

Belangrijke kenmerken van de campagne waren:

  • Professioneel ogende e-mails met compliance-thema en urgente onderwerpregels over wangedrag van medewerkers of non-compliancezaken
  • PDF-bijlagen die ontvangers instrueerden om dossiermateriaal te bekijken
  • Meerdere gefaseerde pagina’s met onder meer CAPTCHA-controles en tussenliggende verificatiestappen
  • Een laatste Microsoft-aanmeldingsprompt ingebed in een AiTM-flow om sessietokens te onderscheppen
  • Brede impact in verschillende sectoren, vooral Healthcare, Financial Services, Professional Services en Technology

Microsoft gaf aan dat de meeste slachtoffers zich in de Verenigde Staten bevonden, maar dat de campagne wereldwijd organisaties trof.

Waarom deze aanval significant is

In tegenstelling tot eenvoudige credential phishing, proxyen AiTM-aanvallen de authenticatiesessie in realtime. Dat betekent dat aanvallers zelfs wanneer gebruikers MFA voltooien, nog steeds tokens kunnen onderscheppen en hergebruiken om toegang te krijgen tot accounts.

Deze campagne laat ook zien hoe phishingtactieken evolueren:

  • Aanvallers gebruikten enterprise-achtige HTML-sjablonen om de geloofwaardigheid te vergroten
  • Ze maakten gebruik van tijdsdruk en HR-achtige beschuldigingen om snelle actie af te dwingen
  • CAPTCHA- en gefaseerde pagina’s hielpen geautomatiseerde securityanalyse te filteren
  • De uiteindelijke aanmeldingsflow oogde legitiem genoeg om argwaan bij gebruikers te verminderen

Impact op IT-beheerders

Securityteams moeten dit zien als een herinnering dat gebruikersbewustzijn alleen niet voldoende is. Organisaties hebben gelaagde verdediging nodig voor e-mail, identiteit, endpoints en webbeveiliging.

Beheerders zouden het volgende moeten controleren:

  • Configuraties van Exchange Online Protection en Microsoft Defender for Office 365
  • Anti-phishingbeleid en bescherming tegen impersonatie
  • Ondersteuning voor SmartScreen in beheerde browsers
  • Network protection in Windows om kwaadaardige webbestemmingen te blokkeren
  • Detectie- en responsdekking voor verdachte aanmeldactiviteit en tokenmisbruik

Aanbevolen vervolgstappen

IT-teams zouden de volgende acties moeten ondernemen:

  1. Informeer gebruikers over phishinglokmiddelen rond HR, compliance en regelgeving
  2. Voer phishingsimulaties uit met attack simulation training in Microsoft Defender for Office 365
  3. Versterk instellingen voor e-mailbeveiliging en bekijk beleidsaanbevelingen in de Microsoft security portal
  4. Geef prioriteit aan phishingbestendige authenticatie waar mogelijk
  5. Zoek naar indicatoren van compromise en onderzoek ongewoon sessiegedrag gekoppeld aan aanmeldgebeurtenissen

Deze campagne bevestigt een belangrijke securityles: moderne phishing draait niet langer alleen om wachtwoorden. Verdediging tegen token theft vereist sterkere identiteitsbescherming, betere e-mailbeveiliging en voortdurende gebruikersvoorlichting.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team and Microsoft Threat Intelligence
AiTM phishingMicrosoft 365 securitytoken theftMicrosoft Defender for Office 365phishing campaign

Gerelateerde artikelen

Security

ClickFix macOS-campagne verspreidt infostealers

Microsoft heeft een nieuwe ClickFix-achtige campagne geïdentificeerd die macOS-gebruikers aanvalt met nep-instructies voor probleemoplossing en hulpprogramma’s op blogs en contentplatforms. In plaats van apps te downloaden, worden slachtoffers misleid om Terminal-opdrachten uit te voeren die de gebruikelijke macOS-appcontroles omzeilen en infostealers zoals Macsync, SHub Stealer en AMOS installeren.

Security

CVE-2026-31431 Linux-dreiging uitgelegd

Microsoft heeft details gedeeld over CVE-2026-31431, een ernstig Linux-lek voor lokale privilege-escalatie dat root-toegang kan geven op grote distributies en cloudgehoste workloads. Dit is belangrijk omdat het gedeelde-kernelomgevingen zoals containers en Kubernetes treft, waardoor het risico op container escape, laterale beweging en hostcompromittering toeneemt als systemen niet snel worden gepatcht.

Security

Microsoft Agent 365 GA: beveiliging en AI-beheer

Microsoft Agent 365 is nu algemeen beschikbaar voor commerciële klanten en biedt IT- en beveiligingsteams een uniforme control plane om AI-agents in Microsoft 365, endpoints en cloudomgevingen te observeren, beheren en beveiligen. Nieuwe previewmogelijkheden breiden de zichtbaarheid ook uit naar shadow AI, lokale Windows-agents, multicloud agentplatforms en beleidsgebaseerde controles via Defender en Intune.

Security

E-maildreigingslandschap Q1 2026: Microsoft-inzichten

Microsoft meldt 8,3 miljard gedetecteerde phishingmails in Q1 2026, waarbij QR-codephishing meer dan verdubbelde en CAPTCHA-afgeschermde campagnes zich snel ontwikkelden. De bevindingen zijn relevant voor securityteams omdat aanvallers verschuiven naar linkgebaseerde diefstal van inloggegevens, terwijl verstoringsacties tegen Tycoon2FA laten zien dat gecoördineerd optreden de impact van phishing kan verminderen.

Security

Microsoft Security-updates voor Agent 365 en Defender

Microsoft heeft nieuwe beveiligingsmogelijkheden aangekondigd voor Agent 365, Defender for Cloud, GitHub Advanced Security en Microsoft Purview. De updates richten zich op betere zichtbaarheid in AI-agentactiviteit, sterkere bescherming van code tot runtime en snellere dataonderzoeken voor security- en IT-teams.

Security

CISO-risicobeoordelingen: 8 Microsoft best practices

Microsoft heeft een praktisch framework gepubliceerd waarmee CISOs en securityleiders effectievere risicobeoordelingen kunnen uitvoeren te midden van toenemende AI-gestuurde cyberdreigingen. De richtlijnen richten zich op acht beoordelingsgebieden — van assets en applicaties tot authenticatie, autorisatie en netwerkisolatie — om organisaties te helpen verschuiven van reactieve respons naar proactieve risicoreductie.