Aanvallers misbruiken Microsoft Sway in grootschalige campagne
In een grootschalige phishing-campagne worden QR-codes die een gebruiker moeten verleiden om zijn of haar credentials te overhandigen gehost op een Microsoft Sway-webpagina. Hierdoor lijkt het alsof het een valide Microsoft-loginpagina is.
Microsoft Sway
Microsoft Sway is een tool in de Microsoft-cloud die waarin men onder andere interactieve rapporten, nieuwsbrieven en andere pagina’s kan maken. In juli van dit jaar heeft Netskope Threat Labs echter ontdekt dat er een grote toename is in het misbruik van dit platform om QR-phishing (ook wel ‘quishing’) te hosten.
Geldig certificaat & valide Microsoft URL
Omdat deze pagina’s gehost worden door Microsoft op één van haar vele domeinen (in dit geval *.sway.cloud.microsoft.com) lijkt het voor de gebruiker een valide Microsoft-URL te zijn, met zelfs een geldig certificaat ondertekent door Microsoft zelf. Hierdoor is het risico dat de link vertrouwd wordt door beveiligingssystemen en door de gebruiker zelf een stuk groter.
QR-code phishing
Bij QR-code phishing (quishing) wordt er alleen een QR-code en een kort tekstje getoond om de gebruiker aan te moedigen de code te scannen met een smartphone. Vervolgens wordt er een link geopend waarbij de daadwerkelijke phishing-pagina wordt getoond waarbij de gebruiker een geldig uitziende Microsoft-loginpagina te zien krijgt.
Als de gebruiker hierop inlogt, wordt het authenticatieverzoek naar de echte Microsoft-servers gestuurd en krijgt de gebruiker een MFA-prompt, de terugkoppeling hierop wordt vervolgens naar de servers van de aanvaller teruggestuurd en daar wordt ingelogd. In veel gevallen wordt ook de browser van de gebruiker doorgestuurd naar een Microsoft-pagina, zodat het lijkt dat het inloggen gelukt is en er geen wantrouwen wordt gecreëerd.
Meer weten of benieuwd of jouw systemen kwetsbaar zijn?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Financieel gemotiveerde aanvallen domineren het cyberdreigingslandschapMicrosoft heeft op 16 oktober 2025 hun Digital Defense Report 2025 gepubliceerd. Het rapport laat zien dat de meeste cyberaanvallen tegenwoordig een […]
- Meer dan de helft van Nederlandse bedrijven kreeg te maken met phishing, wat kun jij doen?Phishing blijft een groot probleem. Uit recent onderzoek van SIDN blijkt dat 58% van de Nederlandse bedrijven het afgelopen jaar het doelwit […]
- Ransomware legt Europese luchthavens stilAfgelopen weekend zijn meerdere luchthavens in Europa getroffen door een storing bij het inchecken en boarden. De oorzaak bleek een ransomware-aanval op […]
- Actor Tokens en Entra ID: hoe een kwetsbaarheid Global Admin-rechten in elke tenant mogelijk maakteEen recente ontdekking door Dirk-jan Mollema laat zien hoe een combinatie van legacy technologie en ongedocumenteerde tokenmechanismen kon leiden tot volledig beheer […]
- HybridPetya: wat je moet weten over deze nieuwe Petya/NotPetya-copycat met Secure Boot-bypassIn de wereld van ransomware en bootkits is het zelden rustig. Onlangs ontdekte ESET Research een malwarevariant die oplaait met eigenschappen van […]