Iemand voert een telefoongesprek terwijl ze achter een laptop op een bureau werkt.
Nieuws8 juli · 20:114 min leestijd

Vishing-campagne verleidt Microsoft 365-gebruikers tot frauduleuze Entra-passkey

Aanvallers bellen medewerkers van bedrijven op Microsoft 365 en praten ze een frauduleuze Entra-passkey aan. Ze nemen intussen het account over en stelen data uit SharePoint en OneDrive. Dit betekent het voor je securitybeleid.

Een actieve vishingcampagne belt medewerkers van organisaties op Microsoft 365 en praat ze een frauduleuze Entra-passkey aan, terwijl de aanvaller op de achtergrond zijn eigen inlogsleutel aan het account koppelt. Okta's dreigingsonderzoek volgt de campagne sinds april 2026.

De aanval draait de belofte van passkeys om. Een passkey geldt als phishingbestendig, want hij werkt niet op een namaakinlogpagina. Maar deze aanvallers mikken niet op de inlog zelf, ze mikken op het registratiemoment: de gebruiker wordt telefonisch overtuigd om een “nieuwe” sleutel te koppelen, en die sleutel is van de aanvaller. Voor een Nederlands bedrijf betekent het dat MFA en passkeys op zichzelf niet genoeg zijn als een medewerker aan de telefoon door de stappen wordt gepraat.

Hoe de aanval werkt

De campagne loopt sinds april 2026 en richt zich op de passkey-registratie in Microsoft Entra ID, het moment waarop een gebruiker een nieuwe inlogsleutel aan zijn account koppelt. De aanvaller belt, doet zich voor als de IT- of helpdesk, en zegt dat een beveiligingsupgrade een nieuwe passkey vereist. Het slachtoffer gaat naar een domein met “passkey” in de naam, zoals assignpasskey[.]com of deploypasskey[.]com, dat de Entra-inlog nabootst met de huisstijl van de eigen organisatie erop.

Achter dat scherm zit een operator-gestuurd PHP-paneel dat het slachtoffer in bijna real-time door de inlogstappen loodst. Terwijl de gebruiker zijn wachtwoord en MFA-code invult, logt de aanvaller er op hetzelfde moment mee in op het echte account. Het paneel past zich aan de MFA-methode aan: een TOTP-code, een pushmelding met nummerherkenning of een sms-code. Om de gebruiker bezig te houden verschijnt daarna een neppagina met een BIP-39-herstelzin, iets dat het echte Entra helemaal niet gebruikt maar onervaren gebruikers afleidt. Ondertussen registreert de aanvaller zijn eigen passkey op het account.

Wie erachter zit en wat het oplevert

Okta schrijft de campagne toe aan een groep die het O-UNC-066 noemt en die opereert onder de afpersnaam “Pink”, met een lekwebsite die op 31 mei online ging. Na de overname haalt de groep snel data uit SharePoint en OneDrive weg om het bedrijf mee af te persen. De doelwitten zitten in voedsel en drank, techniek, de zorg, de auto-industrie, de bouw en de luchtvaart.

Het is een ander aanvalspad dan de password-spray die via een verouderde Azure CLI-route de MFA op Microsoft 365 omzeilde in 81 miljoen inlogpogingen. Die aanval was massaal en geautomatiseerd, deze is gericht, menselijk en overtuigt via de telefoon.

Wat je hiertegen doet

De verdediging zit niet in nog een technische factor, maar in het proces eromheen. Okta adviseert een vaste manier om te verifiëren dat een helpdeskmedewerker echt is wie hij zegt, voordat iemand een inlogwijziging doorvoert. Beperk het aanpassen van authenticatiemethoden tot beheerde apparaten en bekende locaties, en stuur een melding bij elke wijziging aan een passkey of MFA-factor, zodat een frauduleuze registratie meteen opvalt.

De kern: passkeys beschermen je tegen een namaakinlogpagina, maar niet tegen een medewerker die aan de telefoon wordt overtuigd om zelf een vreemde sleutel te koppelen. Het zwakke punt is verschoven van het wachtwoord naar het moment van registreren, en daar hoort je controle nu te zitten.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Veilig inloggen goed geregeld

Ik denk met je mee over hoe je team veilig inlogt en automatiseer de identiteits- en toegangsprocessen eromheen end-to-end, van ontwerp tot beheer, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing
Nieuws
5 min

9 jul 20:22

Afpersgroep Helix steelt SharePoint-data via vishing en device-code phishing

Een nieuwe afpersgroep, Helix, breekt in bij Microsoft 365 met valse telefoontjes en device-code phishing en trekt hele SharePoint-bibliotheken leeg. ReliaQuest ziet een bekend patroon. Dit betekent het voor je beveiliging.

81 miljoen inlogpogingen op Microsoft 365: aanvallers omzeilen MFA via verouderde Azure CLI-route
Nieuws
5 min

1 jul 21:08

81 miljoen inlogpogingen op Microsoft 365: aanvallers omzeilen MFA via verouderde Azure CLI-route

Een wachtwoordaanval deed in twee weken ruim 81 miljoen inlogpogingen op Microsoft 365 en omzeilde bij tientallen bedrijven de MFA via de verouderde ROPC-inlogroute van Azure CLI. Zo zet je die route dicht.

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming
Nieuws
5 min

27 jun 08:22

AGCM onderzoekt Microsoft: stille Copilot-upgrade dreef prijs Microsoft 365 op zonder duidelijke toestemming

De Italiaanse mededingingsautoriteit onderzoekt of Microsoft abonnees misleidde door Copilot ongemerkt in Microsoft 365 te bundelen en ze standaard op een duurder plan te zetten. Wat betekent dat voor Nederlandse gebruikers en bedrijven?

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane
Nieuws
4

10 jul 12:11

Kabinet pauzeert uitrol Microsoft 365 bij Belastingdienst en Douane

Het kabinet zet de uitrol van Microsoft 365 bij de Belastingdienst, Douane en Toeslagen stil na een vernietigend ICT-advies over vendor lock-in, en laat het eigen, on-premises scenario opnieuw uitwerken.

Microsoft bevestigt 4.800 ontslagen en splitst vier Xbox-studio's af
Nieuws
4

6 jul 16:09

Microsoft bevestigt 4.800 ontslagen en splitst vier Xbox-studio's af

Microsoft schrapt 4.800 banen in sales, consulting en Xbox en verzelfstandigt vier gamestudio's, terwijl het recordbedragen in AI-infrastructuur blijft steken. Wat betekent de omslag voor je Microsoft-accountteam?

Outlook en Microsoft 365 koppelen aan je CRM: mail, agenda en contacten in sync
Gids
Uitgebreide gids10 min

5 jul 21:04

Outlook en Microsoft 365 koppelen aan je CRM: mail, agenda en contacten in sync

Vier manieren om Outlook en Microsoft 365 aan je CRM te knopen, van de native connector tot een eigen Graph-koppeling. Met een beslistabel op volume, veldcomplexiteit en data-eigenaarschap.