Gevaarlijke nieuwe phishingtruc misbruikt échte Microsoft-inlogpagina

Cybercriminelen worden slimmer. Hun nieuwste truc? Geen knullige nepwebsite meer, maar gebruik van de échte Microsoft-inlogpagina om medewerkers te misleiden.

En precies dat maakt deze aanval zo gevaarlijk.

Je ontvangt een ogenschijnlijk normale e-mail over een SharePoint-bestand, Teams-uitnodiging, factuur of document dat op je wacht. Alles lijkt te kloppen. De afzender oogt bekend, de link voelt vertrouwd en zelfs de inlogpagina is echt van Microsoft.

Maar achter die vertrouwde omgeving schuilt een slimme val.

Zo trappen organisaties erin

Na het openen van de link vraagt het systeem om een verificatiecode. Dat klinkt onschuldig, maar wie die code invoert, geeft in werkelijkheid een cybercrimineel toegang tot het Microsoft 365-account.

Vanaf dat moment kunnen aanvallers e-mails meelezen, bestanden downloaden, mailboxregels aanpassen en zelfs collega’s of klanten benaderen vanuit een vertrouwd account. En juist dat maakt dit type aanval zo effectief: de aanval komt van binnenuit.

Waarom dit zo verraderlijk is

De meeste medewerkers herkennen inmiddels de klassieke phishingpogingen wel. Slechte taal, vreemde links, dubieuze websites.

Dit type aanval gooit het over een andere boeg. Criminelen misbruiken juist het vertrouwen in Microsoft. Geen nepomgeving, maar een echte loginpagina. Geen overduidelijke rode vlag, maar een situatie die er normaal uitziet.

Dat maakt deze aanval niet alleen slim, maar ook bijzonder riskant.

Wat moet je onthouden?

De belangrijkste waarschuwing is simpel: Microsoft stuurt nooit e-mails waarin je via een link een code moet invoeren om toegang tot jouw account te geven.

Krijg je zo’n verzoek? Stop direct.

Klik niet verder. Voer geen codes in. En check het bericht eerst intern of bij je IT-partner.

Want bij moderne phishing ziet het gevaar er steeds professioneler uit.