Menu
nl
NederlandsEnglish
Cybersafety: veiligheid en privacy online
Cybersafety: veiligheid en privacy online
UTDienstenLISACybersafetyBlogs

Herken Sharepoint phishing

Pas op met documentverzoeken

De afgelopen periode zien we een sterke toename van een specifieke vorm van phishing. Het gaat om mails die sterk lijken op SharePoint- of Microsoft 365-notificaties. Deze berichten lijken betrouwbaar, omdat ze afkomstig zijn van echte accounts. Dit zijn veelal gecompromitteerde accounts.

TL;DR – Twijfel? Check eerst dit

Ontvang je een melding over een gedeeld document via SharePoint of OneDrive (bijvoorbeeld een payroll- of HR-bestand)? Stel jezelf dan altijd deze vragen:

  • Verwacht ik dit document?
  • Past de afzender bij de inhoud?
  • Wordt dit normaal via SharePoint gedeeld, of via een ander systeem zoals Afas?

Twijfel je?
Klik niet op links, vul nergens je wachtwoord in en meld het bericht bij cert@utwente.nl

 Hoe ziet zo’n phishingmail eruit?

Kijk naar onderstaande voorbeeld:

Op het eerste gezicht lijkt alles te kloppen, namelijk het onderwerp verwijst naar een document van de University of Twente.

De valkuil zit in de details. In dit soort mails zie je bijvoorbeeld dat:

  • een cc naar een extern e-mailadres
    in dit geval gaat de mail CC naar: velasquez.miguel@correounivalle.edu.co
  • een melding onderaan dat de mail via een andere organisatie is verzonden
    onderin de mail staat “This email is generated through Universiad del Valle's use of Microsoft 365 and may contain content. “

Dit is een belangrijke rode vlag. Wanneer een bericht betrekking heeft op University of Twente-documenten, maar afkomstig is van een andere onderwijsinstelling of onbekende organisatie, is extra alertheid noodzakelijk.

Hoe herken je deze phishingmails?

1. Onverwachte documentverzoeken

Krijg je zomaar een melding dat iemand een document met je deelt? Denk dan even na:

  • Verwachtte ik dit bestand?
  • Ken ik deze persoon?
  • Past dit document bij mijn werkzaamheden of studie?

Een salarisstrook, factuur of HR-document zonder context is vrijwel altijd verdacht.

2. Afzender en inhoud komen niet overeen

Controleer altijd of de afzender logisch aansluit bij de inhoud van de mail.

  • Een onbekende student deelt een HR-document
  • Een extern account deelt interne documenten
  • De naam lijkt bekend, maar het mailadres wijkt af

Ook wanneer de mail van een legitiem account lijkt te komen, realiseer je dat ook legitieme accounts kunnen worden gehackt.

3. Dringende of nieuwsgierig makende inhoud

Aanvallers maken gebruik van emoties, Dergelijke mails spelen vaak in op urgentie of nieuwsgierigheid met onderwerpen zoals:

  • Payroll Notice
  • Invoice
  • Secure Document
  • Password Expiry
  • Shared Contract

Het doel is om je snel te laten klikken zonder goed te controleren.

4. Inlogpagina na het openen van de link

Klik je op een link en kom je direct op een inlogpagina terecht? Let dan goed op:

  • Klopt de URL?
  • Zit je echt op een Microsoft- of University of Twente-domein?
  • Moet je onverwacht opnieuw inloggen?

Phishingsites lijken vaak sterk op de echte Microsoft-loginpagina, zie onderstaande voorbeeld:

 

In dit voorbeeld lijkt het te gaan om een document van de University of Twente. Bij nadere controle blijkt echter dat het document wordt gehost op een omgeving van een andere universiteit. Dit is een belangrijk signaal dat het bericht mogelijk niet legitiem is.

5. Past dit bij de normale werkwijze?

Vraag jezelf af: wordt dit soort communicatie normaal OOK op deze manier verstuurd?

Bijvoorbeeld:

  • HR-documenten en salarisinformatie worden doorgaans via Afas gedeeld, niet via willekeurige SharePoint-links.
  • Verwacht je communicatie via een ander platform, maar ontvang je ineens een SharePoint-link? Wees dan extra alert.

Wat gebeurt er als je toch inlogt?

Als je inlogt op een phishingpagina, krijgen aanvallers toegang tot je account.

Vervolgens gebruiken ze jouw account om nieuwe phishingmails te versturen — vaak naar collega’s of studenten. Zo verspreidt de aanval zich snel verder binnen de organisatie.

Recent zagen we bijvoorbeeld phishingmails met nepaanbiedingen voor gratis producten, verzonden vanuit eerder gecompromitteerde accounts.

Wat moet je doen bij twijfel?

  • Klik niet op links of bijlagen
  • Vul nooit je wachtwoord in op verdachte pagina’s
  • Keur nooit een MFA-verzoek goed dat je niet zelf hebt gestart
  • Meld verdachte mails volgens de gebruikelijke procedure
  • Verwijder het bericht pas nadat je het hebt gemeld

Door alert te blijven op onverwachte SharePoint-verzoeken help je niet alleen je eigen account beschermen, maar voorkom je ook verdere verspreiding binnen de organisatie.

Sluiten
Suggesties