Aanvallers misbruiken Microsoft Sway in grootschalige campagne
In een grootschalige phishing-campagne worden QR-codes die een gebruiker moeten verleiden om zijn of haar credentials te overhandigen gehost op een Microsoft Sway-webpagina. Hierdoor lijkt het alsof het een valide Microsoft-loginpagina is.
Microsoft Sway
Microsoft Sway is een tool in de Microsoft-cloud die waarin men onder andere interactieve rapporten, nieuwsbrieven en andere pagina’s kan maken. In juli van dit jaar heeft Netskope Threat Labs echter ontdekt dat er een grote toename is in het misbruik van dit platform om QR-phishing (ook wel ‘quishing’) te hosten.
Geldig certificaat & valide Microsoft URL
Omdat deze pagina’s gehost worden door Microsoft op één van haar vele domeinen (in dit geval *.sway.cloud.microsoft.com) lijkt het voor de gebruiker een valide Microsoft-URL te zijn, met zelfs een geldig certificaat ondertekent door Microsoft zelf. Hierdoor is het risico dat de link vertrouwd wordt door beveiligingssystemen en door de gebruiker zelf een stuk groter.
QR-code phishing
Bij QR-code phishing (quishing) wordt er alleen een QR-code en een kort tekstje getoond om de gebruiker aan te moedigen de code te scannen met een smartphone. Vervolgens wordt er een link geopend waarbij de daadwerkelijke phishing-pagina wordt getoond waarbij de gebruiker een geldig uitziende Microsoft-loginpagina te zien krijgt.
Als de gebruiker hierop inlogt, wordt het authenticatieverzoek naar de echte Microsoft-servers gestuurd en krijgt de gebruiker een MFA-prompt, de terugkoppeling hierop wordt vervolgens naar de servers van de aanvaller teruggestuurd en daar wordt ingelogd. In veel gevallen wordt ook de browser van de gebruiker doorgestuurd naar een Microsoft-pagina, zodat het lijkt dat het inloggen gelukt is en er geen wantrouwen wordt gecreëerd.
Meer weten of benieuwd of jouw systemen kwetsbaar zijn?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Infostealer-malware: het stille risico dat vaak te laat wordt ontdektInfostealer-malware krijgt minder aandacht dan ransomware, maar vormt in veel organisaties een groter en vooral stiller risico. Waar ransomware de boel platlegt […]
- Waarom verouderde Exchange-servers nu een acuut risico vormenMicrosoft Exchange blijft een aantrekkelijk doelwit voor aanvallers. Nu Microsoft de ondersteuning voor Exchange 2016 en 2019 heeft beëindigd, worden de risico’s […]
- Wat het Louvre ons leert over digitale hygiëne en hoe herhaling voorkomen kan wordenDe diefstal van de Franse kroonjuwelen uit het Louvre kreeg een onverwacht digitaal staartje: het wachtwoord van het CCTV-systeem bleek simpelweg “Louvre” […]
- Don’t say no, say how: waarom security teams moeten meebewegen met innovatieIn de wereld van cybersecurity is één ding zeker: als je als securityteam “nee” zegt, zullen gebruikers altijd “hoe dan wel?” zeggen […]
- Financieel gemotiveerde aanvallen domineren het cyberdreigingslandschapMicrosoft heeft op 16 oktober 2025 hun Digital Defense Report 2025 gepubliceerd. Het rapport laat zien dat de meeste cyberaanvallen tegenwoordig een […]