Security

Microsoft waarschuwt voor belastingseizoen phishing

3 min leestijd

Samenvatting

Microsoft ziet in het belastingseizoen van 2026 een sterke toename van gerichte phishing- en malwarecampagnes die zich voordoen als belastingdocumenten, terugbetalingen en berichten van accountants. Dat is belangrijk omdat aanvallers steeds geavanceerdere technieken gebruiken, zoals QR-codes, meerstaps-doorverwijzingen, cloudbestanden en legitieme beheerhulpmiddelen, waardoor organisaties extra alert moeten zijn op diefstal van inloggegevens en malware-infecties.

Hulp nodig met Security?Praat met een expert

Inleiding

Het belastingseizoen blijkt opnieuw piektijd voor cybercriminelen. Microsoft meldt een duidelijke toename van phishing- en malwarecampagnes die de urgentie van belastingaangiften, terugbetalingsmeldingen, loonformulieren en communicatie van accountants uitbuiten om gebruikers te misleiden hun referenties prijs te geven of malware te starten.

Voor IT- en beveiligingsteams is dit belangrijk omdat deze campagnes niet slechts generieke spam zijn. Veel ervan zijn sterk gericht, gepersonaliseerd en ontworpen om traditionele detecties te omzeilen via QR-codes, meerstaps-linkketens, in de cloud gehoste bestanden en misbruik van legitieme remote monitoring and management (RMM)-tools.

Wat is nieuw

Microsoft lichtte verschillende aanvalspatronen met belastingthema uit die begin 2026 zijn waargenomen:

  • CPA-phishing met Energy365
    E-mails met onderwerpen als "See Tax file" gebruikten Excel-bijlagen die linkten naar OneNote-bestanden op OneDrive, en gebruikers uiteindelijk doorstuurden naar pagina’s voor het verzamelen van referenties die werden aangedreven door de Energy365 phishing-as-a-service-kit.

  • W-2 QR-codephishing met SneakyLog
    Berichten met de titel "2025 Employee Tax Docs" bevatten Word-documenten met gepersonaliseerde QR-codes. Het scannen van de code leidde gebruikers naar valse Microsoft 365-aanmeldpagina’s die draaiden via de SneakyLog/Kratos phishingkit, ontworpen om referenties en 2FA-informatie te stelen.

  • 1099-lokmiddelen die ScreenConnect leveren
    Domeinen met belastingformulier-thema deden zich voor als financiële en belastingmerken en leidden gebruikers ertoe 1099-FR2025.exe te downloaden, dat ScreenConnect installeerde. Hoewel legitiem, kan ScreenConnect door aanvallers worden misbruikt als tool voor externe toegang.

  • IRS- en crypto-gerelateerde phishing
    Een andere campagne gebruikte valse IRS-berichten en social engineering rond cryptocurrency, waaronder copy-and-paste-URL’s in plaats van klikbare links om geautomatiseerde detectie te verminderen.

Waarom dit belangrijk is voor beheerders

Deze campagnes laten zien hoe aanvallers het volgende combineren:

  • overtuigende seizoensgebonden zakelijke context
  • phishing-as-a-service-platforms die snel kunnen opschalen
  • gepersonaliseerde bijlagen en landingspagina’s
  • MFA-omzeilingstechnieken
  • legitieme ondertekende RMM-tools voor persistentie en hands-on-keyboard-toegang

Organisaties in financiële dienstverlening, gezondheidszorg, onderwijs, productie, retail en IT werden allemaal als doelwit waargenomen, waarbij accountants en functies dicht bij finance bijzonder risico lopen.

Aanbevolen volgende stappen

IT-beheerders moeten onmiddellijk de volgende acties ondernemen:

  • Versterk het bewustzijn van gebruikers rond e-mails met belastingthema, vooral onverwachte W-2-, 1099-, CPA- en IRS-berichten.
  • Blokkeer of inspecteer phishing op basis van QR-codes en meerfasige bijlageketens met Excel, OneNote en links naar cloudopslag nauwkeurig.
  • Controleer e-mailbeveiligingsbeleid voor bescherming tegen impersonatie, het scannen van bijlagen en URL-detonatie.
  • Jaag op misbruik van RMM-tools zoals ScreenConnect en SimpleHelp, vooral wanneer deze buiten goedgekeurde kanalen worden geïnstalleerd.
  • Versterk identiteitsbeveiliging met waar mogelijk phishing-resistente MFA en monitor op verdachte Microsoft 365-aanmeldactiviteit.
  • Gebruik Microsoft Defender-detectie en hunting-richtlijnen uit het advies om gerelateerde indicatoren van compromise te identificeren.

Conclusie

Het belastingseizoen geeft aanvallers een voorspelbaar venster om urgentie en vertrouwen uit te buiten. De nieuwste bevindingen van Microsoft herinneren eraan dat organisaties belastinggerelateerde berichten moeten behandelen als een phishingcategorie met hoog risico en zowel identiteitsactiviteit als tools voor externe toegang in de hele omgeving moeten valideren.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft Defendertax seasonmalware

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.