Een nieuwe golf van spookphishing maakt een einde aan de traditionele e-mailbeveiliging

Een recente EvilTokens-campagne gericht op bedrijven in de VS en Europa legt een nieuwe blinde vlek op het gebied van e-mailbeveiliging bloot. Deze “ghost phishing”-techniek houdt de kwaadaardige pagina verborgen totdat deze wordt gedecodeerd en tot leven komt in de browser van het slachtoffer.

Voor beveiligingsleiders is het risico duidelijk: traditionele URL-controles kunnen de aanval missen, terwijl de toegang tot Microsoft 365, gevoelige gegevens en responstijd al op het spel staan.

De e-mail ziet er veilig uit. De browser vertelt een ander verhaal

Een recente EvilTokens-aanval laat zien hoe een phishing-link tijdens de eerste inspectie onschadelijk kan lijken en toch kan leiden tot de overname van een Microsoft 365-account.

De kit maakt gebruik van Microsoft Device Code Phishing om slachtoffers ervan te overtuigen een legitieme Microsoft-inlogstroom te voltooien en onbewust toegang tot hun accounts te autoriseren. Het hoeft het wachtwoord niet rechtstreeks te stelen.

De echte aanval blijft verborgen totdat de pagina in de browser wordt geopend. De HTML is gecodeerd met AES-GCM en wordt pas zichtbaar nadat de browser deze heeft gedecodeerd en de phishing-inhoud in de DOM heeft weergegeven.

Als gevolg hiervan kunnen statische URL-controles en controles op netwerkniveau de eerste reactie vastleggen zonder te zien wat de werknemer daadwerkelijk ziet. Deze zichtbaarheidskloof kan leiden tot:

  • Langere blootstelling voor de overname van het Microsoft 365-account
  • Vertraagde insluiting en responsbeslissingen
  • Ongeautoriseerde toegang tot zakelijke e-mail, bestanden en cloudservices
  • Onzeker waarschuwingen escaleerden aan senior analisten
  • Hoger onderzoek werklast en operationele kosten
  • Onvolledig bewijs voor het blokkeren van gerelateerde infrastructuur

De volledige aanvalsstroom werd echter blootgelegd in de interactieve sandbox van ANY.RUN. Verken de analysesessie om te zien wat de browser heeft onthuld en hoe teams dit bewijsmateriaal kunnen gebruiken om sneller te reageren.

Bekijk de recente EvilTokens-aanval en verkrijg relevante IOC’s

Waar Ghost Phishing het hardst toeslaat

De Threat Intelligence van ANY.RUN laat zien dat de recente EvilTokens-activiteit geconcentreerd is in de VS en Europa, gericht op technologie, productie, onderwijs, bankwezen, advies, financiële dienstverlening en beheerde beveiligingsaanbieders.

De overlap is moeilijk te negeren. Gebaseerd op de sandbox-inzendingsgegevens van ANY.RUN van 15.000 organisaties, bereikte de blootstelling aan phishing in 2026 75,6% in consultancy, 72,8% in financiële dienstverlening, 71,9% in productie, 67,9% in technologie, 66,7% in bankwezen en 66,1% onder MSSP’s.

Dit maakt verborgen phishing voor deze sectoren extra gevaarlijk. Eén gehackt Microsoft 365-account kan gevoelige gegevens blootleggen, zakelijke e-mailcompromis en -fraude mogelijk maken en kostbare respons op incidenten veroorzaken.

Hoe langer de aanval verborgen blijft, hoe groter de kans dat één account een breder bedrijfsincident wordt.

Stop verborgen phishing voordat het uw bedrijf ten koste gaat.

Verminder de blootstelling, incidentkosten en het risico op accountovername.

Dicht de zichtbaarheidskloof

Maak de geest zichtbaar voordat het bedrijf de prijs betaalt

De meest effectieve manier om spookphishing aan het licht te brengen, is door verdachte links te openen in een sandbox die gegevensinspectie in de browser ondersteunt.

In de interactieve sandbox van ANY.RUN gaan analisten verder dan de gecodeerde AES-GCM-reactie en zien ze wat er gebeurt nadat de pagina is ontsleuteld. Ze kunnen de phishing-inhoud in de DOM zien verschijnen, de wijziging koppelen aan een Fetch/XHR-verzoek en de Microsoft-apparaatcode terug traceren naar het /api/device/start-eindpunt.

De gegevensweergave in de browser brengt de volledige aanvalsstroom in één onderzoek:

  • DOM-snapshots laten zien wanneer de verborgen pagina verandert en de gebruikerscode verschijnt.
  • HTTP-verzoeken onthullen de backend-communicatie achter de apparaatcodestroom.
  • URL-details onthullen de eindbestemming en geactiveerde detectiehandtekeningen.
  • Indicatoren bieden domeinen, eindpunten, hashes en infrastructuur voor verdere jacht.

In plaats van de aanval handmatig te reconstrueren, krijgen teams direct bewijs van hoe de pagina zich gedraagt, wat deze vraagt ​​en welke artefacten insluiting en detectie ondersteunen.

Van bewijs op browserniveau naar een duidelijkere SOC-overdracht

Om dit bewijsmateriaal van niveau 1 naar niveau 2 te brengen, genereert het onderzoek automatisch een rapport met een AI-samenvatting en aanbevolen volgende stappen.

In plaats van de casus opnieuw op te bouwen op basis van onbewerkte browsergegevens, ontvangen senior analisten de belangrijkste bevindingen, het waargenomen gedrag, de indicatoren en de responscontext op één plek. Dit maakt overdrachten sneller, vermindert herhaald werk en helpt teams met minder vertraging van validatie naar beheersing over te gaan.

Stop spookphishing in de browser voordat deze het bedrijf bereikt

De zaak EvilTokens legt een ongemakkelijke waarheid bloot: een e-mail kan de inspectie doorstaan ​​terwijl de echte aanval in de browser wacht.

Zonder zichtbaarheid op browserniveau wordt het SOC gedwongen beslissingen met hoge inzet te nemen op basis van gedeeltelijk bewijs. Die vertraging geeft aanvallers meer tijd om toegang te krijgen, hun bereik uit te breiden en een gecompromitteerd Microsoft 365-account om te zetten in een kostbaar bedrijfsincident.

Dit helpt veiligheidsleiders:

  • Verklein het belichtingsvenster voordat een gecompromitteerd account een groter incident wordt
  • Verminder de druk op senior analisten door Tier 1 voldoende bewijsmateriaal te geven om meer zaken op te lossen
  • Versnel de insluiting waarbij de volledige aanvalscontext beschikbaar is vanaf de eerste escalatie
  • Verbeter de detectiedekking gebruikmakend van browsergedrag, infrastructuur en herhaalbare aanvalspatronen
  • Verlaag de kosten van phishing-reacties door handmatig onderzoek en dubbel werk te vermijden
  • Neem risicobeslissingen op basis van bewijs in plaats van te vertrouwen op schone scans of onduidelijke uitspraken

Moderne phishing openbaart zich niet langer volledig in de e-mail of de initiële URL-reactie. Beveiligingsteams hebben inzicht nodig dat de aanval in de browser volgt en deze blootlegt voordat het bedrijf de prijs betaalt.

Verminder bedrijfsblootstelling: Geef analisten volledig browserbewijs om spookphishing sneller in te dammen en voorkom dat een gecompromitteerd account escaleert tot een kostbaar incident.

Thijs Van der Does