Toename geavanceerde Sharepoint of One-Drive phishing berichten
De dagen dat je een phishing-mail met gebrekkig Engels of slechte lay-outs makkelijk identificeert lijken verleden tijd. Vandaag de dag zien deze mailtjes er professioneel uit en zijn er vaak geen taal fouten meer in te vinden.
Wij zien de laatste tijd weer een trend in de phishing-mails die er uit zien als Sharepoint/One-drive berichten, vaak voor het delen van een PDF-bestand. Als je zo’n mailtje ontvangt komt deze hoogst waarschijnlijk van iemand waar je al eerder contact mee hebt gehad, waardoor jij onbewust al meer vertrouwen hebt in het bericht. Wanneer je op de link klikt, word je bijvoorbeeld gevraagd om in te loggen op een One-drive/Sharepoint/O365 look-a-like login website die bijna niet van echt te onderscheiden is – en in de geavanceerde gevallen, wordt dit gehost op een door Microsoft gehoste pagina via het Azure Blob Storage platform, waardoor zelfs de url en het SSL certificaat echt van Microsoft zijn.
Daarnaast kan het ook zo zijn dat je al direct een virus binnen haalt – dat kan per type phishing-mail verschillen. Wanneer je inlog met jouw gegevens – dezelfde als voor je e-mailadres – kunnen hackers op jouw mailbox inloggen.
Voorbeeld van een nep-login pagina
Wat gebeurt er met jouw mailbox als ze toegang hebben
Waarschijnlijk zal je mailbox gebruikt worden om een malafide link te verspreiden naar je contactpersonen en alle personen waar je al eerder een mail naartoe hebt gestuurd.Daarnaast hebben ze natuurlijk toegang tot al het email verkeer in jouw mailbox. Los van alle mogelijke vertrouwelijke en persoonlijke informatie die in de mailbox staat, kan er ook van alles gedaan worden met bestaande gegevens zoals bijvoorbeeld creditcard gegevens, webshops met opgeslagen betaalgegevens, paypal accounts. Daarnaast kunnen ze ook zien op welke website je allemaal account hebt, en met toegang kunnen ze ook wachtwoorden resetten om tot deze accounts toegang te krijgen. Ook kunnen er dan bijvoorbeeld klanten benaderd vanuit jouw e-mailbox over een wijziging van bijvoorbeeld een bankrekeningnummer o.i.d.
Hoe herken je deze e-mails en hoe voorkom je dat je zelf slachtoffer wordt?
Om jezelf te beschermen, is er een aantal punten waar je op moet letten. Daarnaast zijn er voorzorgsmaatregelen die je kan nemen.
Voordat je klikt:
Allereerst klik niet zomaar en bekijk de email aandachtig:
- Is het logisch dat deze persoon jouw een document of een link verstuurd via One-drive of Sharepoint?
- Stel jezelf de vraag of je vaker van deze afzender berichten met een bijlage via OneDrive of Sharepoint hebt uitgewisseld.
- Let op het emailadres van de afzender. Klopt het email adres echt? Zijn er niet letters omgewisseld of weggelaten in de domeinnaam?
- Inspecteer de links: Zonder te klikken houd je muis over de link en kijk waar deze naartoe verwijst.
- Is het echte tekst in de e-mail of zijn het plaatjes waar de tekst op staat*.
- Urgentie en dreigende toon: Vaak wordt er gebruik gemaakt van urgentie en dreigende toon. “U heeft nog 2 dagen…”, “Voorkom dat uw toegang niet wordt ontzegt, kom nu in actie..”.
Bij twijfel: Neem contact op met deze persoon, het liefst via de telefoon of Whatsapp
*=Vaak zitten de links verscholen achter plaatjes. Deze plaatjes bevatten vaak de teksten en een icoontje van bijvoorbeeld een pdf-bestand – iets wat je herkent en wat er uit ziet als een bijlage – waardoor jij getriggerd wordt om er op te klikken. Probeer zonder te klikken de tekst te selecteren – kan dit niet, dan is het een plaatje en is het hoogst waarschijnlijk een phishing-bericht. Maak je gebruik van donkere modus, wat op steeds meer mail-applicaties en webmail beschikbaar is, dan vallen deze plaatjes meteen op omdat de achtergrond kleur en de kleur van de tekst niet worden aangepast in het plaatje zoals bij een normale email.
Hieronder een aantal voorbeelden:
Berichten die doen vermoeden dat er een PDF document met jouw is gedeeld.
Een mooi opgemaakte mail, in de style van Microsoft. Bijna niet van echt te onderschijden
Verschil tussen echte bijlages en links die zich voordoen als bijlages zijn te zien als je de muisaanwijzer over het icoon houdt.
Heb je toch geklikt:
Vul nooit direct je inloggegevens in! Navigeer altijd handmatig naar een One-drive en log daar in om de gedeelde links te bekijken. Dan weet je in ieder geval zeker dat je een echt gedeeld document ontvangt. Dit sluit overigens natuurlijk niet uit dat dit bestand zelf ook malware, randomsware of een virus bevat.
Heb je toch je gegevens ingevoerd:
- Zet de computer uit!
- Probeer het wachtwoord van je email box direct te wijzigen via webmail (OWA): https://portal.outlook.com
- Neem contact op met je IT-beheerder.
- Neem contact op met partijen waar mogelijk vanuit jouw naam een mail naartoe is gestuurd en laat hen ook actie ondernemen om verdere verspreiding en toegang te voorkomen.
Maak gebruik van 2-staps verificatie
Om te voorkomen dat ongewenste personen toegang krijgen tot jouw mailbox, adviseren we je om gebruikt te maken 2-staps verificatie(MFA). Met 2 staps verificatie kan je jouw Office 365 voor bedrijven account extra beveiligen om hack pogingen tegen te gaan. Bij het aanmelden voer je zoals je gewend bent je wachtwoord in en je krijgt met 2 staps verificatie een sms bericht op je telefoon met een code of een melding ter goedkeuring via de Microsoft Authentication app.
2-staps verificatie aanzetten
Hier vindt je meer informatie over hoe je dit moet instellen:
Vraag aan de beheerder om de tweestaps verificatie in te schakelen.
Daarna volg je het volgende stappenplan:
https://support.office.com/nl-nl/article/verificatie-in-twee-stappen-instellen-voor-office-365-ace1d096-61e5-449b-a875-58eb3d74de14