De afgelopen maanden zien we steeds vaker dat klanten en leveranciers getroffen worden door phishingfraude via Microsoft 365. Deze aanvallen beginnen vaak heel onschuldig en zijn lastig te herkennen, omdat ze gebruikmaken van vertrouwde e-mails en Microsoft‑links.

“Ik dacht dat het een OneDrive‑link was…”

In dit blog leggen we in eenvoudige taal uit hoe deze aanvallen werken, waarom ze zo verraderlijk zijn en wat je direct moet doen als je (mogelijk) slachtoffer bent. Zo weet je waar je op moet letten en hoe je schade kunt beperken.

Tekst gaat verder onder de afbeelding.

Belangrijk om te weten: bij dit soort aanvallen maken criminelen misbruik van vertrouwen en herkenbare situaties. De e-mails zijn bewust zo opgesteld dat ze betrouwbaar overkomen, waardoor dit iedereen kan overkomen. Het gaat dus niet om onoplettendheid, maar om slimme misleiding.

Hoe werkt deze hack aanval?

Deze phishingaanval ziet er op het eerste gezicht heel betrouwbaar uit. Je ontvangt een e-mail van een bekende klant of leverancier met het verzoek om een document te bekijken via OneDrive of SharePoint. Na het klikken op de link kom je terecht op een inlogscherm dat niet van echt te onderscheiden is.

Zodra je hier je Microsoft‑gegevens invult, kan een aanvaller toegang krijgen tot jullie Microsoft‑omgeving. Dit gebeurt vaak ongemerkt, waardoor de hacker op de achtergrond acties kan uitvoeren en de aanval zich verder kan verspreiden zonder dat je dit direct doorhebt.

Wat zijn de gevolgen van deze aanval?

• Er worden massamails verstuurd vanuit jouw account of organisatie, vaak naar collega’s, klanten en leveranciers.
• Verzendde berichten worden soms direct verwijderd, zodat je deze niet terugziet in Outlook.
• Er worden outlookregels (inbox rules) aangemaakt die inkomende mails automatisch als gelezen markeren of verplaatsen naar verborgen mappen, zoals RSS.
• In sommige gevallen wordt er een SharePoint- of Teams‑site aangemaakt met een bestand, dat opnieuw wordt rondgestuurd om nóg meer slachtoffers te maken.

Het doel is bijna altijd hetzelfde: zich verder verspreiden en misbruik maken van vertrouwen en informatie, bijvoorbeeld voor factuurfraude of gerichte oplichting.

Waarom deze aanval zo lastig te herkennen is

Veel mensen denken: “Wij hebben extra beveiliging, dus dit overkomt ons niet.” In de praktijk zien we dat deze aanval ook slaagt bij organisaties die hun beveiliging goed op orde hebben.

Dat komt doordat de aanvaller niet zozeer een wachtwoord kraakt, maar misbruik maakt van een bestaande, actieve aanmelding. Voor de systemen lijkt het alsof de gebruiker zelf nog steeds is ingelogd.

Omdat de aanval daarna plaatsvindt vanuit een echt en vertrouwd account, komen vervolgmailtjes heel geloofwaardig over. Hierdoor klikken anderen sneller door en kan één onschuldig lijkende klik uitgroeien tot een kettingreactie binnen de organisatie of richting klanten en leveranciers.

Waar moet je extra alert op zijn?

Bij dit type phishing ziet een e-mail er vaak heel normaal uit. Toch zijn er een aantal signalen die kunnen wijzen op misbruik. Zie je één of meerdere van onderstaande punten? Wees dan extra voorzichtig.

Past deze e-mail bij wat je verwacht?

• Verwacht je daadwerkelijk een document of bestand?
• Heb je recent contact gehad met deze afzender?
• Sluiten inhoud, toon en timing aan bij wat je normaal ontvangt?

Kleine afwijkingen in taal en opmaak

• Een algemene aanhef zoals “Beste gebruiker” in plaats van jouw naam.
• Zinnen die nét niet lekker lopen of onlogisch aanvoelen.
• Dringende taal zoals “met spoed”, “direct actie vereist” of “laatste kans”.

Controleer de link, zonder erop te klikken

• Ga met je muis over de link en kijk waar deze werkelijk naartoe leidt.
• Twijfel je? Klik niet en vraag los aan de afzender of hij of zij dit bericht heeft verstuurd.

Links of bijlagen waarbij je opnieuw moet inloggen

Een gedeelde OneDrive‑ of SharePoint‑link is op zichzelf niet vreemd, maar wees extra alert wanneer:

• je plots opnieuw moet inloggen terwijl dat normaal niet nodig is;
• het inlogscherm er nét anders uitziet dan je gewend bent.

In dat geval: stop direct en onderneem geen verdere actie.

Automatische invulfuncties

Het komt voor dat een browser of wachtwoordmanager automatisch gegevens invult. Hierdoor kan het lijken alsof je niet hebt ingelogd, terwijl er met één klik toch toegang is verleend, zonder dat je dit bewust doorhebt.

Checklist bij vermoeden van een hack

Twijfel je of er op een verdachte link is geklikt of een account is misbruikt? Volg dan onderstaande stappen. Snel handelen voorkomt verdere schade.

1) Isoleer de computer

• Haal de computer direct van het internet (wifi uit / kabel los).
• Zet de computer niet uit en verander niets.

2) Bel direct onze IT helpdesk

Neem na het isoleren meteen contact op met Smart Computerservice. Wij nemen vanaf dat moment de volledige technische afhandeling over, waaronder:

• Veiligstellen van account en Microsoft 365‑omgeving
• Uitloggen van actieve sessies
• Resetten van wachtwoorden en 2FA
• Controleren van inboxregels, apps en gedeelde toegang

3) Meld het incident bij de Autoriteit Persoonsgegevens (AP)

Is er mogelijk sprake van een datalek? Dan ligt de meldplicht wettelijk bij de organisatie zelf. Een datalek moet in principe binnen 72 uur na ontdekking worden gemeld.

De officiële melding kan worden gedaan via het meldloket van de Autoriteit Persoonsgegevens: klik hier om een datalek te melden.

Ons belangrijkste advies

Bij twijfel: neem geen risico. Ga er altijd vanuit dat er iets aan de hand is en onderneem direct actie.

Neem contact op

Isoleren → bellen → wij handelen technisch → klant meldt en informeert.
Dat is en blijft de veiligste aanpak.