Gebruik jij Outlook, Teams of OneDrive op je werk? Dan is het belangrijk om even op te letten. Er gaat namelijk een nieuwe golf van phishingaanvallen rond die speciaal gericht is op Microsoft 365-gebruikers. Deze aanvallen proberen niet alleen je wachtwoord te stelen, maar ook de beveiligingscode die je via MFA (meervoudige verificatie) invoert. Cybercriminelen gebruiken hiervoor een slimme tool genaamd Whisper 2FA, waarmee ze zelfs MFA weten te omzeilen.
Wat is Whisper 2FA en hoe misleidt het Microsoft 365 MFA?
Whisper 2FA is een zogeheten phishingkit, een programma dat criminelen helpt om inloggegevens en beveiligingscodes (MFA) te stelen. Het gevaar zit in de manier waarop dit gebeurt: het lijkt alsof je op de echte Microsoft-inlogpagina bent, maar in werkelijkheid geef je je gegevens rechtstreeks aan een aanvaller.
Onderzoekers van Barracuda ontdekten dat er in slechts één maand bijna een miljoen aanvallen met deze kit zijn uitgevoerd. Dat maakt het één van de meest gebruikte phishingtools ter wereld.
Zo proberen aanvallers jouw Microsoft 365-inlog te stelen
Whisper 2FA doet zich voor als een normale Microsoft-inlogpagina.
- Je ontvangt een e-mail die lijkt op een bericht van Microsoft.
- Je klikt op de link en komt op een pagina die er écht uitziet als Microsoft 365.
- Zodra je je gebruikersnaam, wachtwoord en beveiligingscode invoert, worden die gegevens direct doorgestuurd naar de aanvaller.
- Voer je een verkeerde code in? Dan vraagt de site gewoon om een nieuwe, net zolang tot het lukt.
Whisper 2FA werkt met alle soorten meervoudige verificatie (MFA): sms, app of e-mail.
Waarom MFA-phishing bij Microsoft 365 moeilijk te herkennen is
De makers van Whisper 2FA zijn slim. Ze hebben manieren gevonden om beveiligingssoftware te omzeilen. Zo blokkeren ze inspectietools, versleutelen ze alles wat jij invoert en verbergen ze verdachte code. Daardoor lijkt het alsof er niets aan de hand is, zelfs voor ervaren gebruikers.
Wat kun je doen om je Microsoft 365 te beschermen
Gelukkig kun je zelf al veel doen om dit soort aanvallen te voorkomen:
Let goed op verdachte e-mails
Krijg je een bericht dat je moet “inloggen” of “bevestigen”? Wees extra alert, vooral als er haast achter zit.
Controleer altijd de link
Klik niet zomaar op een knop, maar bekijk het webadres goed. Dit is altijd: login.microsoftonline.com (niet windows.net of forms.office.com)
Gebruik een veilige MFA-methode
Bij voorkeur een app zoals Microsoft Authenticator. Sms-codes zijn gevoeliger voor misbruik.
Vertrouw je het niet? Sluit de pagina.
Twijfel je? Klik alles weg en meld het bij ICTzaak. Wij kunnen direct even meekijken en je computer scannen.
Twijfel je over een e-mail?
Phishing is tegenwoordig niet meer zo simpel als een slecht geschreven e-mail met taalfouten. Tools zoals Whisper 2FA zijn professioneel, snel en moeilijk te herkennen. Toch kun je jezelf goed beschermen door alert te blijven.
Twijfel je over een e-mail of melding? Stuur hem gerust naar ons door.
Liever één keer te vaak vragen dan één keer te laat.
Bel ons op 
Stel je vraag via 
