Cybercriminelen misbruiken configuratiefouten in spoofingbeveiliging

[Captain Kirk]

Cybercriminelen maken gebruik van complexe e-mailroutingscenario's en verkeerd geconfigureerde spoofingbeveiliging om domeinen van organisaties te imiteren, waarschuwt Microsoft. Hierdoor kunnen phishingberichten ondanks maatregelen toch bij werknemers terechtkomen. De aanvalsmethode is niet nieuw, maar wordt sinds mei 2025 vaker waargenomen. De berichten zijn vaak opportunistisch en richten zich op uiteenlopende sectoren. Veelvoorkomende thema's zijn onder meer voicemails, gedeelde documenten, HR-communicatie, wachtwoordresets of verlopen inloggegevens.

Microsoft waarschuwt dat indien MX-records niet naar Office 365 wijzen en spoofingbeveiliging niet strikt is afgedwongen, aanvallers phishingberichten kunnen versturen die afkomstig lijken van het eigen domein van de organisatie. De meeste phishingcampagnes die deze methode gebruiken, maken volgens Microsoft deel uit van phishing-as-a-service (PhaaS)-platforms zoals Tycoon2FA. In oktober 2025 blokkeerde Microsoft Defender for Office 365 meer dan 13 miljoen kwaadaardige e-mails gelinkt aan Tycoon2FA, waaronder veel berichten die domeinen van organisaties imiteerden. Deze platforms bieden aanvallers kant-en-klare phishingberichten, infrastructuur en ondersteuning, waaronder adversary-in-the-middle (AiTM)-phishing om multifactorauthenticatie (MFA) te omzeilen.

Organisaties kunnen onder meer via e-mailheaders achterhalen dat berichten niet intern zijn verstuurd, maar afkomstig zijn van externe IP-adressen. Andere belangrijke indicatoren zijn SPF-foutmeldingen, fouten bij het DMARC-authenticatieproces of het ontbreken van DKIM. Indien bij een e-mail X-MS-Exchange-Organization-InternalOrgSender op 'True' staat maar X-MS-Exchange-Organization-MessageDirectionality 'Incoming' aangeeft, is dit eveneens een signaal dat e-mails extern zijn verzonden.

Microsoft wijst op een aantal maatregelen die organisaties kunnen nemen om zichzelf te beschermen:

Configureer spoofingbeveiliging strikt: stel DMARC in op 'reject', SPF op 'hard fail' en configureer DKIM correct.
Controleer externe connectors: Zorg dat derden (zoals spamfilters) correct zijn geconfigureerd voor het detecteren van spoofing.
Microsoft Defender for Office 365: Schakel Safe Links in voor tijdige URL-scans en Zero-hour auto purge (ZAP) om achteraf kwaadaardige berichten te blokkeren.
Implementeer phishing-resistente MFA: Microsoft adviseert het gebruik van FIDO2-beveiligingssleutels, Windows Hello for Business of Microsoft Authenticator-passkeys.

 

bron: https://www.security.nl