Bedreigingsactoren die zich bezighouden met phishing-aanvallen maken gebruik van routeringsscenario’s en verkeerd geconfigureerde spoof-beveiligingen om de domeinen van organisaties na te bootsen en e-mails te verspreiden die lijken alsof ze intern zijn verzonden.
“Bedreigingsactoren hebben deze vector gebruikt om een breed scala aan phishing-berichten te leveren die verband houden met verschillende phishing-as-a-service (PhaaS)-platforms zoals Tycoon 2FA”, aldus het Microsoft Threat Intelligence-team in een rapport van dinsdag. “Het gaat onder meer om berichten met lokmiddelen rond voicemails, gedeelde documenten, communicatie van HR-afdelingen, het opnieuw instellen of verlopen van wachtwoorden, en andere, die leiden tot phishing met inloggegevens.”
Hoewel de aanvalsvector niet per se nieuw is, zei de technologiegigant dat hij sinds mei 2025 getuige is geweest van een toename in het gebruik van de tactiek als onderdeel van opportunistische campagnes gericht op een grote verscheidenheid aan organisaties in meerdere sectoren en branches. Dit omvat een campagne waarbij vervalste e-mails zijn gebruikt om financiële oplichting tegen organisaties uit te voeren.
Een succesvolle aanval zou ervoor kunnen zorgen dat bedreigingsactoren inloggegevens kunnen overhevelen en deze kunnen gebruiken voor vervolgactiviteiten, variërend van gegevensdiefstal tot zakelijke e-mailcompromis (BEC).
Het probleem manifesteert zich voornamelijk in scenario’s waarin een tenant een complex routeringsscenario heeft geconfigureerd en spoof-beveiligingen niet strikt worden afgedwongen. Een voorbeeld van complexe routering is het verwijzen van de mail exchanger-record (MX-record) naar een on-premises Exchange-omgeving of een service van derden voordat deze Microsoft 365 bereikt
Hierdoor ontstaat een beveiligingslek dat aanvallers kunnen misbruiken om vervalste phishing-berichten te verzenden die afkomstig lijken te zijn van het eigen domein van de huurder. Het blijkt dat de overgrote meerderheid van de phishing-campagnes die gebruik maken van deze aanpak gebruik maakt van de Tycoon 2FA PhaaS-kit. Microsoft zei dat het in oktober 2025 meer dan 13 miljoen kwaadaardige e-mails blokkeerde die aan de kit waren gekoppeld.
PhaaS-toolkits zijn plug-and-play-platforms waarmee fraudeurs gemakkelijk phishing-campagnes kunnen maken en beheren, waardoor deze zelfs toegankelijk zijn voor mensen met beperkte technische vaardigheden. Ze bieden functies zoals aanpasbare phishing-sjablonen, infrastructuur en andere hulpmiddelen om diefstal van inloggegevens te vergemakkelijken en multi-factor authenticatie te omzeilen met behulp van Adversary-in-the-Middle (AiTM) phishing.
De Windows-maker zei dat het ook e-mails heeft ontdekt die bedoeld zijn om organisaties te misleiden om valse facturen te betalen, wat mogelijk tot financiële verliezen kan leiden. De vervalste berichten imiteren ook legitieme diensten zoals DocuSign of beweren van HR te zijn met betrekking tot salaris- of arbeidsvoorwaardenwijzigingen.
Phishing-e-mails waarin financiële oplichting wordt gepropageerd, lijken vaak op een gesprek tussen de CEO van de beoogde organisatie, een persoon die om betaling vraagt voor verleende diensten, of de boekhoudafdeling van het bedrijf. Ze bevatten ook drie bijgevoegde bestanden om het plan een vals gevoel van vertrouwen te geven:
- Een valse factuur voor duizenden dollars die naar een bankrekening moet worden overgemaakt
- Een IRS W-9-formulier met de naam en het burgerservicenummer van de persoon die is gebruikt om de bankrekening in te stellen
- Er zou een valse bankbrief zijn verstrekt door een medewerker van de online bank waarmee de frauduleuze rekening was aangemaakt
“Ze kunnen klikbare links in de e-mailtekst of QR-codes in bijlagen of andere middelen gebruiken om de ontvanger naar een phishing-landingspagina te laten navigeren”, voegde het eraan toe. “De schijn dat je bent verzonden vanaf een intern e-mailadres is het meest zichtbare onderscheid voor een eindgebruiker, vaak met hetzelfde e-mailadres dat wordt gebruikt in de velden ‘Aan’ en ‘Van’.”
Om dit risico tegen te gaan, wordt organisaties geadviseerd om een strikt DMARC-afwijzingsbeleid (Domain-based Message Authentication, Reporting and Conformance) en een Sender Policy Framework (SPF) hard fail-beleid in te stellen en connectoren van derden, zoals spamfilterservices of archiveringstools, op de juiste manier te configureren.
Het is vermeldenswaard dat tenants met MX-records die rechtstreeks naar Office 365 verwijzen, niet kwetsbaar zijn voor de aanvalsvector. Bovendien wordt aanbevolen om Direct Send uit te schakelen als dit niet nodig is om e-mails te weigeren die de domeinen van de organisatie vervalsen.
