{"id":21353,"date":"2025-10-23T08:13:08","date_gmt":"2025-10-23T06:13:08","guid":{"rendered":"https:\/\/acora.com\/nl\/?post_type=resources&p=21353"},"modified":"2025-10-23T10:51:55","modified_gmt":"2025-10-23T08:51:55","slug":"hoe-fake-oauth-apps-de-achterdeur-naar-je-microsoft-365-openen","status":"publish","type":"resources","link":"https:\/\/acora.com\/nl\/insights\/hoe-fake-oauth-apps-de-achterdeur-naar-je-microsoft-365-openen\/","title":{"rendered":"Hoe fake OAuth-apps de achterdeur naar je Microsoft 365 openen"},"content":{"rendered":"

<\/span>De aanval die begint met een klik op \u201ctoestaan\u201d<\/span><\/h2>\n

Een medewerker opent een document en krijgt een melding: \u201cDeze app vraagt toegang tot je Microsoft 365-gegevens. Wil je dit toestaan?\u201d<\/em><\/p>\n

Het lijkt betrouwbaar. Het logo klopt, de tekst ziet er netjes uit. Geen reden om te twijfelen. Hij klikt. Vanaf dat moment heeft de aanvaller dezelfde rechten als de medewerker. Niet via een gestolen wachtwoord, maar via een toegangstoken. Daarmee kan hij mail lezen, Teams-gesprekken volgen en SharePoint-bestanden kopi\u00ebren. MFA houdt hem niet tegen, want de medewerker heeft zelf de deur opengezet.<\/p>\n

Wat dit zo verraderlijk maakt, is dat er geen alarm klinkt en er zijn geen sporen van inbraak. E\u00e9n klik voelt onschuldig, maar kan het hele bedrijf blootleggen. Volgens ons Threat Landscape Report gebeurde dit in augustus op grote schaal: bijna 3.000 accounts in meer dan 900 Microsoft 365-omgevingen werden overgenomen via nep-OAuth-apps. Voor een boardroom is dat een ongemakkelijke gedachte. E\u00e9n achteloze toestemming kan een aanvaller dezelfde rechten geven als je eigen medewerkers.<\/p>\n

 <\/p>\n

<\/span>Hoe deze aanvallen in hun werk gaan<\/span><\/h2>\n

Onderzoekers van Proofpoint en Acora zagen hoe aanvallers phishingkits zoals Tycoon<\/em> en ODx<\/em> gebruiken om dit mogelijk te maken. Het begint vaak met een ogenschijnlijk legitieme mail, een offerteaanvraag of een contractvoorstel. De link in die mail leidt naar een Microsoft OAuth-pagina waar de nep-app toestemming vraagt.<\/p>\n

Die apps doen zich voor als betrouwbare namen: Adobe, DocuSign, RingCentral, zelfs SharePoint zelf. Zodra een gebruiker toestemming geeft, krijgt de aanvaller een toegangstoken dat hem direct in de Microsoft 365-omgeving plaatst. Een opvallend detail is dat zelfs als een gebruiker weigert, dan wordt hij toch nog doorgestuurd naar een fake Microsoft-loginpagina. Daar vangt de aanvaller alsnog credentials \u00e9n MFA-codes via Adversary-in-the-Middle (AiTM)-technieken.<\/p>\n

Dit verklaart waarom zulke aanvallen zo effectief zijn. Ze misbruiken vertrouwen in grote merken en combineren dat met technische trucs die zelfs ervaren gebruikers moeilijk herkennen.<\/p>\n

 <\/p>\n

<\/span>Hoe aanvallers dit in de praktijk gebruiken<\/span><\/h2>\n

Dat OAuth-aanvallen geen theorie zijn, blijkt uit drie incidenten die de afgelopen weken naar buiten kwamen.<\/p>\n