Contents

De aanval die begint met een klik op “toestaan”

Een medewerker opent een document en krijgt een melding: “Deze app vraagt toegang tot je Microsoft 365-gegevens. Wil je dit toestaan?”

Het lijkt betrouwbaar. Het logo klopt, de tekst ziet er netjes uit. Geen reden om te twijfelen. Hij klikt. Vanaf dat moment heeft de aanvaller dezelfde rechten als de medewerker. Niet via een gestolen wachtwoord, maar via een toegangstoken. Daarmee kan hij mail lezen, Teams-gesprekken volgen en SharePoint-bestanden kopiëren. MFA houdt hem niet tegen, want de medewerker heeft zelf de deur opengezet.

Wat dit zo verraderlijk maakt, is dat er geen alarm klinkt en er zijn geen sporen van inbraak. Eén klik voelt onschuldig, maar kan het hele bedrijf blootleggen. Volgens ons Threat Landscape Report gebeurde dit in augustus op grote schaal: bijna 3.000 accounts in meer dan 900 Microsoft 365-omgevingen werden overgenomen via nep-OAuth-apps. Voor een boardroom is dat een ongemakkelijke gedachte. Eén achteloze toestemming kan een aanvaller dezelfde rechten geven als je eigen medewerkers.

 

Hoe deze aanvallen in hun werk gaan

Onderzoekers van Proofpoint en Acora zagen hoe aanvallers phishingkits zoals Tycoon en ODx gebruiken om dit mogelijk te maken. Het begint vaak met een ogenschijnlijk legitieme mail, een offerteaanvraag of een contractvoorstel. De link in die mail leidt naar een Microsoft OAuth-pagina waar de nep-app toestemming vraagt.

Die apps doen zich voor als betrouwbare namen: Adobe, DocuSign, RingCentral, zelfs SharePoint zelf. Zodra een gebruiker toestemming geeft, krijgt de aanvaller een toegangstoken dat hem direct in de Microsoft 365-omgeving plaatst. Een opvallend detail is dat zelfs als een gebruiker weigert, dan wordt hij toch nog doorgestuurd naar een fake Microsoft-loginpagina. Daar vangt de aanvaller alsnog credentials én MFA-codes via Adversary-in-the-Middle (AiTM)-technieken.

Dit verklaart waarom zulke aanvallen zo effectief zijn. Ze misbruiken vertrouwen in grote merken en combineren dat met technische trucs die zelfs ervaren gebruikers moeilijk herkennen.

 

Hoe aanvallers dit in de praktijk gebruiken

Dat OAuth-aanvallen geen theorie zijn, blijkt uit drie incidenten die de afgelopen weken naar buiten kwamen.

  • Workday – Op 6 augustus meldde Security Affairs dat aanvallers via een derde partij toegang kregen tot zakelijke contactgegevens van klanten. Vervolgens deden ze zich voor als HR- of IT-medewerkers om dieper het netwerk in te komen.
  • Drift AI – Onderzoekers van The Hacker News ontdekten dat een kwetsbaarheid in een AI-chatagent werd misbruikt om OAuth- en refresh tokens te kapen. Meer dan 700 Salesforce-klanten liepen risico, samen met gekoppelde diensten als Google Workspace, AWS en Snowflake.
  • Nx build system – Volgens The Hacker News zijn via malafide npm-packages ruim 2.300 developer-credentials buitgemaakt. Met die tokens kregen aanvallers toegang tot private repositories op GitHub.

Deze voorbeelden verschillen in aanpak, van HR-data tot AI-integraties en supply chain bij developers. Maar telkens is het dezelfde zwakke plek, namelijk identity of app-toegang die wordt misbruikt, waarna de aanvaller verder kan naar e-mail, data of complete omgevingen.

 

Waarom dit juist in Microsoft-omgevingen zo gevaarlijk is

De meeste organisaties draaien hun dagelijkse werk in Microsoft 365. Mail, Teams, SharePoint en OneDrive zijn het hart van de digitale werkplek. Precies daar richten aanvallers zich nu op. Een OAuth-app die toegang krijgt, lijkt legitiem en werkt via dezelfde wegen als een gewone gebruiker. Daardoor valt het nauwelijks op. Multi-factor authenticatie houdt dit niet tegen, want het gaat niet meer om een wachtwoord of een sms-code, maar om een toegangstoken dat al is uitgegeven.

Onderzoekers noemen dit een van de grootste risico’s van dit moment. Het token kan worden hergebruikt, sessies kunnen worden overgenomen en apps doen zich voor als vertrouwde namen zoals Adobe of DocuSign (The Hacker News).

Voor IT-afdelingen is het daardoor bijna niet te onderscheiden van normale toegang. Voor de boardroom is dit een wake-up call. Als iemand ongemerkt binnenkomt via de voordeur van Microsoft 365, heb je niet alleen een technisch probleem, maar een risico voor de continuïteit van je hele organisatie.

 

Drie maatregelen die vandaag al verschil maken

In gesprekken met organisaties merk ik dat drie basismaatregelen steeds weer het verschil maken. Ze zijn direct toepasbaar en zorgen dat je risico meteen kleiner wordt:

  1. Wees kritisch op OAuth-appsLaat niet elke app zomaar toegang krijgen tot je Microsoft-omgeving. Sta alleen apps toe waarvan je weet dat ze nodig zijn, en plan regelmatig een korte check. Zo voorkom je dat er ongemerkt een achterdeur open blijft staan.
  2. Kijk ook buiten je eigen netwerkGestolen inloggegevens duiken vaak op “paste sites” en ondergrondse fora. Door dat actief te monitoren, weet je sneller of jouw domein daar verschijnt en kun je eerder ingrijpen.
  3. Beperk rechten en gebruik Conditional AccessMaak toegang afhankelijk van device, locatie of gedrag, en geef medewerkers alleen de rechten die ze echt nodig hebben. Mocht er toch iemand binnenkomen, dan kan die zich niet vrij door je hele omgeving bewegen.

Deze drie maatregelen vragen om discipline, maar maken een wereld van verschil. Ze zorgen ervoor dat een aanvaller niet zomaar kan meeliften op de toegang die medewerkers onbewust hebben weggegeven.

 

De vraag die iedere boardroom nu moet stellen

De kern van deze aanvallen is simpel. Ze spelen zich af in de systemen waar je elke dag op vertrouwt, en ze misbruiken het vertrouwen van je eigen medewerkers. De ongemakkelijke vraag voor bestuurders is dan ook: wie heeft er vandaag toegang tot onze data, en hoe zeker weten we dat die toegang legitiem is?

Het gaat hier niet alleen om IT. Het gaat om de continuïteit van je hele organisatie. Eén toestemming of één onschuldig ogende klik kan genoeg zijn om een datalek, afpersing of zelfs stilstand te veroorzaken. Daarom hoort identity net zo goed thuis in de boardroom als in het SOC.

Wil je sparren over hoe jouw organisatie dit concreet kan aanpakken? Plan een persoonlijke sessie met Leon Smit.

Je bereikt ons via netherlands@acora.com of via de contactpagina op acora.com/nl/contact.

Insights by Leon Smit