Cybercriminelen misbruiken configuratiefouten in spoofingbeveiliging
Cybercriminelen maken gebruik van complexe e-mailroutingscenario's en verkeerd geconfigureerde spoofingbeveiliging om domeinen van organisaties te imiteren, waarschuwt Microsoft. Hierdoor kunnen phishingberichten ondanks maatregelen toch bij werknemers terechtkomen. De aanvalsmethode is niet nieuw, maar wordt sinds mei 2025 vaker waargenomen. De berichten zijn vaak opportunistisch en richten zich op uiteenlopende sectoren. Veelvoorkomende thema's zijn onder meer voicemails, gedeelde documenten, HR-communicatie, wachtwoordresets of verlopen inloggegevens.
Microsoft waarschuwt dat indien MX-records niet naar Office 365 wijzen en spoofingbeveiliging niet strikt is afgedwongen, aanvallers phishingberichten kunnen versturen die afkomstig lijken van het eigen domein van de organisatie. De meeste phishingcampagnes die deze methode gebruiken, maken volgens Microsoft deel uit van phishing-as-a-service (PhaaS)-platforms zoals Tycoon2FA. In oktober 2025 blokkeerde Microsoft Defender for Office 365 meer dan 13 miljoen kwaadaardige e-mails gelinkt aan Tycoon2FA, waaronder veel berichten die domeinen van organisaties imiteerden. Deze platforms bieden aanvallers kant-en-klare phishingberichten, infrastructuur en ondersteuning, waaronder adversary-in-the-middle (AiTM)-phishing om multifactorauthenticatie (MFA) te omzeilen.
Organisaties kunnen onder meer via e-mailheaders achterhalen dat berichten niet intern zijn verstuurd, maar afkomstig zijn van externe IP-adressen. Andere belangrijke indicatoren zijn SPF-foutmeldingen, fouten bij het DMARC-authenticatieproces of het ontbreken van DKIM. Indien bij een e-mail X-MS-Exchange-Organization-InternalOrgSender op 'True' staat maar X-MS-Exchange-Organization-MessageDirectionality 'Incoming' aangeeft, is dit eveneens een signaal dat e-mails extern zijn verzonden.
Microsoft wijst op een aantal maatregelen die organisaties kunnen nemen om zichzelf te beschermen:
Configureer spoofingbeveiliging strikt: stel DMARC in op 'reject', SPF op 'hard fail' en configureer DKIM correct.
Controleer externe connectors: Zorg dat derden (zoals spamfilters) correct zijn geconfigureerd voor het detecteren van spoofing.
Microsoft Defender for Office 365: Schakel Safe Links in voor tijdige URL-scans en Zero-hour auto purge (ZAP) om achteraf kwaadaardige berichten te blokkeren.
Implementeer phishing-resistente MFA: Microsoft adviseert het gebruik van FIDO2-beveiligingssleutels, Windows Hello for Business of Microsoft Authenticator-passkeys.
Waarom trapte niemand daarin toen er nog niet zo ge-digidramd werd?
Microsoft heeft geen controle over de links in het mailtje dat een werknemer ontvangt. Dat is het hele probleem namelijk.
Verder zijn die 'Safe Links' niet te lezen voor een normale gebruiker. Dus die weet nooit waar die op klikt. Wat erger is, de gebruiker gaat het normaal vinden om op lange onleesbare links te klikken. En klagen als de link wel leesbaar is (want onveilig).
Voor de inlichtingendiensten van de VS is het natuurlijk wel prettig dat elke klik op een link via Microsoft geproxied wordt.
Waarom trapte niemand daarin toen er nog niet zo ge-digidramd werd?
De Tycoon2FA phishing kit is pas sinds augustus 23 op de markt. Ze hebben nog even gewacht tot 'het systeem' af was, en iedereen er klaar voor was voor implementatie. Zo'n product moet je strategisch in markt zetten, dan is het effect groter/i
Er valt toch niet meer tegenop te beveiligen zo, door eenvoudige particulier die zijn eigen computer onderhoudt.
Beveiligingsmedewerkers hebben het er maar druk mee, en echt betrouwbare en kundige, zijn schaars.
https://www.cybereason.com/blog/tycoon-phishing-kit-analysis
Voor de inlichtingendiensten van de VS is het natuurlijk wel prettig dat elke klik op een link via Microsoft geproxied wordt.
We hebben hier met criminelen te maken, en de Trump administratie zo omschrijven kan wat mij betreft al zal niet iedereen het daar mee eens zijn, maar ik vraag me af of personele bezetting van geheime diensten -en dat zijn er nogal wat in de USA- al niet 'gezuiverd' zijn door Trump, en als er nog oud-gedienden lopen, vraag ik me af of Trump/Vance/Witkopf hun geinformeerde zienswijzes serieus nemen
Denk van niet.
Ik las dat het inlogicoontje van Windows zelfs gespoofd is. Ik kan met niet voorstellen dat Windows corp hier gelukkig mee is. Geen beste reclame voor hun product. Maar schouder ophalen en waarschuwen, dat kunnen ze dan weer wel.
Waarom trapte niemand daarin toen er nog niet zo ge-digidramd werd?
Waarom zuig je uit je duim dat "niemand erin trapte" ?
Papieren "spoof" is zo oud als papier, en email spoofing trapten mensen in de jaren 90 ook al in.
Waarom trapte niemand daarin toen er nog niet zo ge-digidramd werd?
Waarom zuig je uit je duim dat "niemand erin trapte" ?
Papieren "spoof" is zo oud als papier, en email spoofing trapten mensen in de jaren 90 ook al in.
Daarom werkt het tegenwoordig weer zo goed, papieren spoof
Waarom trapte niemand daarin toen er nog niet zo ge-digidramd werd?
Waarom zuig je uit je duim dat "niemand erin trapte" ?
Papieren "spoof" is zo oud als papier, en email spoofing trapten mensen in de jaren 90 ook al in.
Daarom werkt het tegenwoordig weer zo goed, papieren spoof
Ik weet niet of je het serieus of ironisch bedoelt, maar het werkt nog steeds/wordt nog steeds gedaan.
https://www.maxmeldpunt.nl/oplichting/brief-van-digid-ontvangen-pas-op-voor-oplichting/
idem met "brief van politie".
https://maxius.nl/wetboek-van-strafrecht/artikel225 zit al _ontzettend_ lang in het strafrecht.
Dat is niet pro-actief toegevoegd , maar omdat -zoals ik schreef - spoofen met papier zo oud is als het gebruik van papier.
Waarom trapte niemand daarin toen er nog niet zo ge-digidramd werd?
Waarom zuig je uit je duim dat "niemand erin trapte" ?
Papieren "spoof" is zo oud als papier, en email spoofing trapten mensen in de jaren 90 ook al in.
Daarom werkt het tegenwoordig weer zo goed, papieren spoof
Ik weet niet of je het serieus of ironisch bedoelt, maar het werkt nog steeds/wordt nog steeds gedaan.
https://www.maxmeldpunt.nl/oplichting/brief-van-digid-ontvangen-pas-op-voor-oplichting/
idem met "brief van politie".
https://maxius.nl/wetboek-van-strafrecht/artikel225 zit al _ontzettend_ lang in het strafrecht.
Dat is niet pro-actief toegevoegd , maar omdat -zoals ik schreef - spoofen met papier zo oud is als het gebruik van papier.
Dat weet ik. Als het echte kleine hap-gauw crimineeltjes zijn, dan willen ze nog wel een een inkjet printer gebruiken, maar kleurenlaser is de eerste aanschaf voor oplichter en crimineel die vermeende privacy-freaks ("stuur maar een brief") wil pakken.
Of gewoon via het werk, of de Nederlandse Publieke Omroep:
Het offline actieteam van Arjen Lubach heeft nep-brieven verspreid. Als je zijn programma niet kijkt, weet je dat ook niet. Had verband met de sleepwet. Kan je nog wel terugvinden, als je die Avondshow van hem kunt uitzitten. Ik heb moeite zijn aanblik te verdragen, maar daar is publiciteit over geweest die brievenactie van Lubach.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?