Energiebedrijven krijgen een nieuw soort digitale sluiproute op hun bord, omdat Microsoft een campagne ziet die niet in een keer toeslaat maar in fases vertrouwen opbouwt en daarna rekeningen plundert. De aanvallers liften mee op bekende file sharing processen via SharePoint, waarna ze in het postvak regels plaatsen die waarschuwingen laten verdwijnen en de gebruiker in slaap sussen. Vanuit dat ene gecompromitteerde account verschuift de operatie naar adversary in the middle phishing en daarna naar business email compromise, waarbij de buit meestal niet in data zit maar in betalingsverkeer en opdrachtfraude.
Het patroon begint met een bericht dat lijkt te komen uit een vertrouwde organisatie, omdat een legitiem account eerder is overgenomen en daardoor door filters glipt. De link leidt naar een nagemaakte inlogpagina die sessies en cookies onderschept, en juist dat maakt het gevaarlijker dan een klassieke wachtwoordvangst. Microsoft benadrukt dat een wachtwoordreset dan niet genoeg is, omdat je ook actieve sessies moet intrekken en aanvallerregels in mailboxen moet opruimen om echt de controle terug te krijgen.
Dezelfde logica duikt op in de bredere markt, waar criminelen steeds vaker leven op vertrouwde platforms zodat hun infrastructuur er normaal uitziet. Okta beschreef eerder hoe menselijke operators via telefoongesprekken slachtoffers naar kwaadaardige pagina’s sturen, waarbij de inlogstroom in real time wordt doorgeschakeld en niet phishing resistente MFA alsnog kan worden omzeild. Het betekent dat identiteit het nieuwe slagveld blijft, en dat organisaties die hun toegangspolitiek en sessiebeheer strak hebben ingericht minder ruimte laten voor dit soort operaties.
Netcraft laat daarnaast zien dat zelfs ouderwetse trucs weer werken, omdat aanvallers misleidende URL opmaak gebruiken met een vertrouwd domein voor een apenstaartje, waarna de echte bestemming pas erachter zichtbaar wordt. Een andere variant is de simpele visuele vervanging waarbij rn wordt gelezen als m, waardoor nep domeinen op het eerste gezicht geloofwaardig lijken in inboxen en chatkanalen. Dit soort details verklaart waarom moderne aanvallen minder draaien om technische perfectie en meer om een ontwerp dat de menselijke scan van een bericht net lang genoeg misleidt.
Voor bedrijven in de energiesector, zeker ook in Suriname, is de kern dat deze dreiging niet alleen een IT probleem is, maar een operationeel risico dat direct aan inkoop, facturatie en ketenpartners hangt. Organisaties die extern gedeelde links strenger laten beoordelen, identity controls inzetten die phishing minder kans geven en mailboxregels actief monitoren, zien vaak sneller dat iets niet klopt nog voor een betaling wordt omgeleid. Het is daarom logisch dat security teams hun succes minder meten in aantallen geblokkeerde mails en meer in het wegsnijden van de paden waarmee een aanvaller van één klik naar financiële controle kan bewegen.
Volg de Facebookpagina en Youtube kanaal voor inspiratie. Voor alle pentesten en cybersecurity audits bent u terecht bij Avigdor.
