Het is officieel. [email protected] is niet langer veilig.
Als je onlangs een sms-bericht hebt ontvangen met een rare link, of een onderwerpregel van een e-mail die net iets te urgent lijkt, controleer dan de afzender. Als er dat adres staat: bingo. Het is Microsoft. Het is echt. En dat is het probleem.
Oplichters spoofen het domein niet. Ze bewapenen het eigenlijke systeem.
De vertrouwensexploit
We hebben geleerd om afzenderadressen te controleren. Als het @microsoft.com is, moet het legitiem zijn, denken we. Niet meer.
Aanvallers hebben een slimme, low-tech manier bedacht om de meldingsengine te kapen. Ze hoeven niet in te breken op de servers van Microsoft. Ze hoeven er alleen maar één te huren.
Hier is het stuk, gedetailleerd door cyberbeveiligingsbedrijf Abnormal:
- De slechte acteur bedenkt een wegwerpbaar Microsoft 36-account.
- Ze gaan naar de Tenant Branding-instellingen (specifiek in Microsoft Entra ID).
- Ze veranderen het veld “Naam” van die huurder in het oplichtingsbericht zelf. Een nep financieel alarm. Een phishing-prompt. Wat je ook opvalt.
- Ze activeren een geautomatiseerde actie die Microsoft dwingt een e-mail naar het slachtoffer te sturen. Vaak gaat het daarbij om de vraag om het e-mailadres van het slachtoffer aan het account toe te voegen.
Omdat het systeem van Microsoft de melding verzendt, wordt het legitieme ‘[email protected]’-adres gebruikt.
De inhoud van de e-mail? Minimaal.
Geen kwaadaardige bijlagen. Geen griezelige hyperlinks die naar een valse inlogpagina leiden. Gewoon een onderwerpregel en misschien een beetje hoofdtekst. De tekst? Dat is het veld ‘Naam’ dat de aanvaller eerder heeft bewerkt. Het staat in de header of body als onbewerkte gegevens van een vertrouwde bron.
De kernexploit ligt in de configuratie binnen Microsoft Entra ID.
Uw spamfilters kijken naar de afzender. Ze zien Microsoft. Ze lieten het glijden. Er zijn geen malware-handtekeningen waar u over kunt struikelen. De e-mail is technisch gezien schoon, ook al is de bedoeling kwaadaardig.
Hoe lang is dit al aan de gang?
Voor een tijdje.
Het is je misschien opgevallen dat mensen op Twitter hierover de laatste tijd klagen, maar Abnormal schreef al in januari over deze tactiek. Slechte acteurs houden van efficiëntie. Als één methode werkt, zullen duizenden deze kopiëren. En deze methode? Het omzeilt de duurste beveiligingslagen omdat het vertrouwt op trust.
Waarom zou uw e-mailprovider een e-mail blokkeren die rechtstreeks afkomstig is van een Microsoft-tenantverificatieproces? Dat zou niet moeten. Totdat het zou moeten.
Volgens rapporten heeft Microsoft nog geen openbare verklaring of oplossing voor dit specifieke merkmisbruik vrijgegeven.
Je staat er dus alleen voor.
Wat doe je nu?
Negeer het afzenderadres.
Kijk naar de context. Hebt u Microsoft gevraagd uw tenantnaam te wijzigen? Waarschijnlijk niet. Lijkt de onderwerpregel op een generieke melding of bevat deze een specifieke vraag?
“De aanvaller navigeert naar Tenanteigenschappen…”
Dat klinkt saai. Dat klinkt als IT-papierwerk. Maar dat saaie papierwerk is het wapen.
Houd je ogen open. Als er een e-mail binnenkomt vanaf dat adres en u niets verwachtte, wacht dan even. Controleer de URL in de adresbalk van uw browser, niet de e-maillinks. Verwijder de verdachte bits.
Het internet is niet meer veilig. Het is gewoon handig.
Wees voorzichtig daarbuiten.
