Oplichters gebruiken Microsoft 365 Direct Send om e-mails te vervalsen die op Amerikaanse bedrijven zijn gericht

Oplichters misbruiken Microsoft 365 Direct Send om interne e-mails te vervalsen die gericht zijn op Amerikaanse bedrijven. Ze omzeilen beveiligingsfilters met phishingaanvallen met valse voicemails en QR-codes.
Cyberbeveiligingsonderzoekers van Varonis Threat Labs hebben een geavanceerde nieuwe phishingcampagne onthuld die misbruik maakt van een weinig bekende functie in Microsoft 365 om schadelijke e-mails te versturen.
Deze aanval, die in mei 2025 begon en sindsdien onafgebroken actief is, is al op ruim 70 organisaties gericht. Het overgrote deel daarvan, 95%, bestaat uit organisaties in de VS.
Het unieke aan deze campagne is de mogelijkheid om "interne gebruikers te imiteren zonder dat er ooit een account hoeft te worden gehackt". Dat maakt het bijzonder lastig voor traditionele e-mailbeveiligingssystemen om deze campagne te detecteren, zo merkten onderzoekers op in de blogpost die ze met Hackread.com deelden.
De campagne maakt gebruik van de Direct Send-functie van Microsoft 365, ontworpen voor interne apparaten zoals printers om e-mails te versturen zonder gebruikersauthenticatie. Volgens Varonis misbruiken aanvallers deze functie.
Tom Barnea van Varonis Threat Labs benadrukte in het rapport dat deze methode werkt omdat "er geen inloggegevens of referenties nodig zijn". Criminelen hebben alleen een paar openbaar beschikbare gegevens nodig, zoals het domein van een bedrijf en de indeling van interne e-mailadressen, die vaak gemakkelijk te raden zijn.
Met Direct Send kunnen criminelen e-mails opstellen die lijken te komen van binnen een organisatie, ook al zijn ze afkomstig van een externe bron. Hierdoor omzeilen de schadelijke berichten de gebruikelijke e-mailbeveiligingscontroles, omdat ze door Microsofts eigen filters en oplossingen van derden vaak worden behandeld als legitieme interne communicatie.
Bovendien merkte Varonis op dat deze vervalste e-mails vaak voicemailmeldingen nabootsen en een pdf-bijlage met een QR-code bevatten. Door deze QR-code te scannen, worden slachtoffers doorgestuurd naar een valse Microsoft 365-inlogpagina die is ontworpen om inloggegevens te stelen.
Organisaties moeten waakzaam zijn om deze nieuwe vorm van aanval te detecteren. Varonis adviseert om e-mailberichtheaders te controleren op signalen zoals externe IP-adressen die naar een Microsoft 365 "smart host" (bijv. tenantname.mail.protection.outlook.com) sturen, of fouten in authenticatiecontroles zoals SPF, DKIM of DMARC voor interne domeinen. Gedragsaanwijzingen, zoals e-mails die door een gebruiker naar zichzelf zijn verzonden of berichten die afkomstig zijn van ongebruikelijke geografische locaties zonder bijbehorende inlogactiviteit, zijn ook sterke indicatoren.
Om te voorkomen dat u slachtoffer wordt, raadt Varonis aan de instelling 'Direct verzenden weigeren' in het Exchange Admin Center in te schakelen en een strikt DMARC-beleid te implementeren. Gebruikersvoorlichting is essentieel, met name het waarschuwen van medewerkers voor de gevaren van QR-codebijlagen bij Quishing ( QR Phishing )-aanvallen.
Door Multi-Factor Authentication (MFA) voor alle gebruikers af te dwingen en beleid voor voorwaardelijke toegang in te stellen, kunt u accounts beschermen, zelfs als inloggegevens worden gestolen via deze geavanceerde phishingpogingen.
HackRead