Microsoft Sway wordt misbruikt in grootschalige phishingcampagne met QR-codes

Cybercriminelen zetten Microsoft Sway in bij een grootschalige phishingcampagne met QR-codes. De cloudgebaseerde tool wordt ingezet om websites te maken waar Microsoft 365-gebruikers worden verleid om hun inloggegevens in te vullen.

Microsoft Sway is een cloudgebaseerde tool waarmee gebruikers onder meer interactieve rapporten, presentaties en nieuwsbrieven kunnen maken. Netskope Threat Labs ontdekte in juli dit jaar echter dat de tool plotseling veel wordt ingezet om phishingpagina's te maken, schrijft Bleeping Computer. Deze aanvalsmethode zou zelfs tweeduizend keer vaker zijn gedetecteerd.

Potentiële slachtoffers krijgen een e-mail met een link naar phishingpagina's die worden gehost op het sway.cloud.microsoft-domein. Daar worden ze aangemoedigd een QR-code te scannen, die naar andere malafide websites leidt. De criminelen gebruiken QR-codes, omdat het eigenlijk een afbeelding is en antivirusprogramma's voor e-mails vaak alleen teksten controleren.

Slachtoffers worden bovendien veelal aangemoedigd die code met een mobiel apparaat te scannen. "Aangezien de beveiligingsmaatregelen op mobiele apparaten, zeker die op persoonlijke telefoons, vaak niet zo streng zijn als die op laptops en desktops, zijn slachtoffers kwetsbaarder voor misbruik", aldus de beveiligingsonderzoekers.

Aanvallers gebruiken daarnaast een techniek genaamd 'transparant phishing'. Daarbij wordt een slachtoffer ingelogd op een legitieme website, terwijl de criminelen de inloggegevens en codes voor multifactorauthenticatie stelen. De criminelen richten zich met hun aanvallen met name op slachtoffers in Azië en Noord-Amerika. Hun doelwitten werken vooral in de tech-, productie- en financiële sector.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 29-08-2024 09:31
39 • submitter: TheVivaldi

29-08-2024 • 09:31

39

Submitter: TheVivaldi

Lees meer

Google Cloud gaat multifactorauthenticatie vanaf volgend jaar verplichten
Google Cloud gaat multifactorauthenticatie vanaf volgend jaar verplichten Nieuws van 6 november 2024
Man van 28 aangehouden voor bezit en verspreiding van phishingpanels
Man van 28 aangehouden voor bezit en verspreiding van phishingpanels Nieuws van 26 september 2024
Beveiligingsonderzoekers krijgen per ongeluk controle over .mobi-domein
Beveiligingsonderzoekers krijgen per ongeluk controle over .mobi-domein Nieuws van 12 september 2024
OM eist drie jaar celstraf tegen verdachte van creditcardphishing
OM eist drie jaar celstraf tegen verdachte van creditcardphishing Nieuws van 26 augustus 2024
Gegevens van 3,2 miljoen Belgische WhatsApp-gebruikers zijn te koop op darkweb
Gegevens van 3,2 miljoen Belgische WhatsApp-gebruikers zijn te koop op darkweb Nieuws van 22 augustus 2024
Organisaties waarschuwen voor phishingcampagne via gemailde pdf-bestanden
Organisaties waarschuwen voor phishingcampagne via gemailde pdf-bestanden Nieuws van 15 augustus 2024
Nederlandse maker van 'multifunctionele phishingtool' krijgt 3 jaar celstraf
Nederlandse maker van 'multifunctionele phishingtool' krijgt 3 jaar celstraf Nieuws van 24 juli 2024
Cybercriminelen misbruiken CrowdStrike-incident om malware te verspreiden
Cybercriminelen misbruiken CrowdStrike-incident om malware te verspreiden Nieuws van 22 juli 2024
Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen
Forum Standaardisatie: veel overheidsdomeinen voldoen niet aan beveiligingseisen Nieuws van 18 juli 2024
OM eist 3,5 jaar cel tegen Nederlandse maker van 'multifunctionele phishingtool'
OM eist 3,5 jaar cel tegen Nederlandse maker van 'multifunctionele phishingtool' Nieuws van 9 juli 2024
Parket Oost-Vlaanderen stelt ondergrens in van 1000 euro voor internetoplichting
Parket Oost-Vlaanderen stelt ondergrens in van 1000 euro voor internetoplichting Nieuws van 8 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Microsoft Criminaliteit Phishing Security

Reacties (39)

-Moderatie-faq
39
37
18
0
0
9
Wijzig sortering
KittySeraphim 29 augustus 2024 09:59
De reden waarom ik totaal niet happig ben om qr codes te scannen omdat je totaal geen idee hebt waar je naartoe gestuurd wordt. En een verkeerde, lees geinfecteerde malafide, pagina is al voldoende om potentieel malware op je systeem te krijgen. Al helemaal op smartphones waarmee velen dan ook nog eens hun bankzaken regelen.
Kalief @KittySeraphim29 augustus 2024 10:04
Je krijgt toch na het scannen altijd de link te zien met de vraag of je daar naar toe wil?
Niet de phishing-QR maar het blind automatisch doorklikken vormt het echte gevaar.
TheVivaldi @Kalief29 augustus 2024 10:37
En als daar staat https://nike-official-website.com, hoeveel mensen denk je dat er geloven dat dat de echte website is? (Nu bestaat die website niet, maar stel dat ie zou bestaan en een phishingpagina zou bevatten…)
EnigmA-X @TheVivaldi29 augustus 2024 12:04
Of, iets minder obvious:
Klik hier om door te gaan naar NlKE.NL

Net gekeken, NLKE.nl (dus een L ipv een "i") is gewoon beschikbaar... schrijf het in CAPS in een standaard lettertype en je ziet het verschil niet.

[Reactie gewijzigd door EnigmA-X op 29 augustus 2024 12:04]

keejoz @EnigmA-X29 augustus 2024 12:38
Ik heb dit net getest. Hoezo zie je geen verschil? Tijd voor een bril.

https://i.imgur.com/yVK32gA.png
Tielenaar @keejoz29 augustus 2024 13:14
Ik zie dat echt niet hoor. Hang ook nog eens af van je resolutie, lettertype, alertheid, enz.
Ik heb net via de inspector de l aangepast naar een hoofdletter i, en het enige verschil is 1 pixel extra lege ruimte erachter.
NIKE
NlKE
zoek de verschillen

[Reactie gewijzigd door Tielenaar op 29 augustus 2024 13:15]

TheVivaldi @Tielenaar29 augustus 2024 22:41
Is inderdaad vooral lettertype-afhankelijk. Met het Ubuntu- of Verdana-letterype zie ik het verschil wel, maar met San Francisco of DejaVu Sans niet.

En dan valt het hier nog mee, maar met zo'n ieniemienie labeltje in de camera-app op mijn telefoon is dat verschil zelfs met het beste lettertype moeilijk te zien.

[Reactie gewijzigd door TheVivaldi op 29 augustus 2024 22:43]

TheVivaldi @EnigmA-X29 augustus 2024 12:04
Ook een uitstekend voorbeeld.
KittySeraphim @Kalief29 augustus 2024 10:19
Met hoe cryptisch het adres van officiële websites kan worden bij het doorklikken wordt het wel heel moeilijk om zeker te zijn dat je op een goede website terechtkomt bij het scannen van een qr-code. Een zeer gecompliceerd uitziend adres kan wel eens juist zijn of juist phishing.
Daarom zou ik nooit gebruikersnamen of wachtwoorden invullen als je op een pagina komt via qr, link in email of link in sms. Ga altijd rechtstreeks naar de pagina van de instantie/website die je zoekt.
Ik overdrijf misschien een beetje ik weet het maar een ongeluk zit in een klein hoekje.
Raymond Deen @KittySeraphim29 augustus 2024 11:36
Dit is precies wat ook wordt aangeraden op phishing cursussen: "type de url zelf in!"

Voordeel van een password manager gebruiken is hier dat in de phishing site de gegevens niet worden ingevuld.
Dan ben ik als laatste wel benieuwd hoe ze dat "transparent phishing" dan zien. Zouden ze javascript injecteren, of al een browser extension hebben geïnstalleerd om op die pagina's mee te kunnen kijken?
aap @Kalief29 augustus 2024 10:38
Op mijn iphone zie ik de naam van het TLD. Voor iemand die gemotivieerd kan worden om een random QR-code te scannen, zal een enigszins normaal ogende URL ook geen reden zijn om zich te bedenken.

Voordat je bij de QR-code komt, heb je al een link naar de sway-site in een phising-mailtje moeten aanklikken. Ik zou zeggen dat het daar al fout gegaan is en dat als je die mail vertrouwde, dat je dan ook niet kritisch genoeg zult zijn om de QR-code te wantrouwen.
SinergyX
@Kalief29 augustus 2024 12:01
Die kan je nog verbergen achter verschillende short-url's, desnoods nog een 'proxy check', dat je na 10x redirect niet eens meer weet waar je origineel heen ging.
Marctraider @Kalief29 augustus 2024 10:11
Fout. De klaut vormt hier het echte gevaar. Alsmaar afhankelijk zijn van cloud services.
Coffee @Marctraider29 augustus 2024 10:15
Ik snap niet zo heel goed waarom de “klaut” volgens jou het probleem is in deze context. Dit misbruik van QR-codes kan net zo goed met een traditionele Apache HTTP server op iemands’ Linux bak?
KittySeraphim @Coffee29 augustus 2024 10:25
De obsessie van sommigen om alles maar in de cloud te doen........
Als er dan eens een netwerkstoring is kan je niets meer. Zo ook op het werk, er kan geen nieuwe productie opgestart worden omdat er geen orders opgemaakt kunnen worden.
Cloud toepassingen hebben hun nut maar er moet ook nog altijd een lokaal alternatief zijn.
Coffee @KittySeraphim29 augustus 2024 10:30
Redelijk off topic dus.

En tsja, je hebt exact hetzelfde wanneer er bij welke andere schakel in keten dan ook een storing is.

Plus, hebben clouds (of dit nu hyperscalers zijn, of meer regionale cloudboeren) niet een hogere uptime dan wanneer je alles zelf probeert te hosten?
SirBlade @KittySeraphim29 augustus 2024 10:46
Als er geen netwerk meer is is er meestal ook geen lokaal alternatief meer aangezien sneakernet tegenwoordig niet meer een optie is. Maar er van uitgaande dat je een internetverbinding bedoelde, ook dan is het tegenwoordig snel einde oefening. Leuk als je nog via de interne mailserver kan communiceren met je collega's, maar als je niet met klanten of leveranciers kan mailen heeft het weinig nut. Telefoon en fax gaat tegenwoordig over diezelfde internetverbinding.
bwerg @KittySeraphim29 augustus 2024 10:45
Dat is toch geen antwoord op de vraag waarom de cloud gevaarlijk is in de context van QR-codes...
Scriptkid @KittySeraphim29 augustus 2024 13:49
En Hoe is dat anders bij een lokaal hosting met een storing in het lokale datacenter ?
KittySeraphim @Scriptkid30 augustus 2024 21:10
Ik bedoel dat je je documenten niet op het netwerk bewaard maar lokaal op je pc. dat je daar altijd op kunt terugvallen.
Scriptkid @KittySeraphim31 augustus 2024 23:48
Dat is toch ook zo bij onedrive.

Gewoon root op allways keep offline
Raymond Deen @Coffee29 augustus 2024 11:37
Volgens mij een woordgrapje. "Klauen" is stelen in het Duits.
nemsiz @Marctraider29 augustus 2024 10:18
Rare opmerking.. Wat is hier fout aan? Wat Kalief zegt klopt gewoon.
YopY @Kalief29 augustus 2024 12:01
Ligt eraan, op iOS krijg je alleen het domein te zien. De meeste browsers verbergen grote delen van URLs, sowieso, ook omdat ze veelal - zeker die van microsoft - niet veel nuttige informatie en veel vage subdomeinen bevatten.
watabstract @KittySeraphim29 augustus 2024 10:31
Bankzaken op een telefoon doe je met een app, niet via de browser. Dan zijn qr codes prima. DigiD en ideal gebruiken ook qr codes en daar is niks mis mee.

Een qr code voor een website heb ik verder geen moeite mee. Het is niet alsof je in het wilde weg allemaal qr codes loopt te scannen. Dat doe je op een specifieke plek bijv in een restaurant voor het menu. Als dat een url zou zijn die je moet overtikken dan vertrouw je dat ook.
SunnieNL @watabstract29 augustus 2024 11:32
Totdat iemand een andere QR code plakt over de QR code op de tafel.
Die linkt aan een website die er uit ziet als die van het restaurant met volledige betaling direct tijdens het bestellen en jij na betalen na 10 minuten toch maar eens vraagt waar je kopje koffie blijft en er geen bestelling is binnengekomen.

https://topgear.nl/autoni...-rijders-bij-de-laadpaal/
watabstract @SunnieNL30 augustus 2024 00:44
Dat kan toch ook met een url? Mensen worden al jaren slachtoffer van fishing. Daar heb je geen QR codes voor nodig.

En betalen doe ik via de betaalterminal van het restaurant. Niet via die website.

[Reactie gewijzigd door watabstract op 30 augustus 2024 00:44]

Llopigat
@KittySeraphim29 augustus 2024 10:12
Wat ook een grappige is, zijn QR codes met de EICAR code er in. Dat is een testcode voor virusscanners waarmee je kan checken of je (signatuur gebaseerde) virusscanner goed werkt zonder dat je een echt virus hoeft te introduceren. Het is zowel tekst als een daadwerkelijk draaibare .com file onder MS-DOS.

Dit is best geinig om te laten scannen door machines zoals automatische camerasystemen omdat die vaak antivirus software draaien en daarmee dus het proces dat het scannen doet laten killen. Een soort denial of service.

Vooral bij camera's die op straat zijn gericht en QR codes detecteren vind ik dat zeker gerechtvaardigd. Er zijn zelfs T-shirts te koop met deze code er op :)

[Reactie gewijzigd door Llopigat op 29 augustus 2024 10:14]

YStec @KittySeraphim29 augustus 2024 10:39
Alsof je met een URL wel weet waar je heen wordt gestuurd. :D.

[Reactie gewijzigd door YStec op 29 augustus 2024 10:40]

Bor Coördinator Frontpage Admins / FP Powermod
@YStec29 augustus 2024 13:59
Ik neem aan dat je het verschil zelf ook wel ziet toch? En een voor mensen leesbare tekst vs iets waar voor een mens geen kaas van valt te maken.
OptimusPrima @KittySeraphim29 augustus 2024 12:00
Ik schat dat 90% van de gebruikers ook klikt op een link als https://inloggen.bank.nl. Hetzelfde geldt voor deze aanvalstechniek. Gebruikers negeren waarschuwingen en meldingen, omdat de kennis ontbreekt om de gepresenteerde informatie juist te interpreteren.
kodak
@KittySeraphim29 augustus 2024 15:31
Het klinkt een beetje als huiverig zijn notities in een andere taal te laten vertalen omdat je niet weet wat de vertaling zal zijn en of je vertaler niet ongewenst meer gaat doen dan slechts vertalen.

Gegevens of information in een vreemde taal is niet zomaar gevaarlijk. Het hangt af van hoe je wel en niet met de vertaling om gaat en het resultaat van de vertaling wel of niet gebruikt. Als je niet weet of je de vertalende app wel kan vertrouwen of hie je zelf met de vertaling om gaat dan lijkt me eerder dat het probleem dan het niet meteen kunnen zien wat gegevens in een andere taal voorstellen.
chaoscontrol 29 augustus 2024 09:52
Zoals The Planet Smashers jaren geleden al zongen; "I won't be swayed".
Llopigat
29 augustus 2024 10:04
Haha ik dacht even dat het ging over sway, de wayland tiling window manager die een kloon is van i3 (voor X11).

Van Microsoft Sway had ik nog nooit gehoord, en ik werk nog wel dagelijks met hun diensten (zooi in mijn ogen overigens maargoed, ik heb niks te kiezen helaas).
mutley69 29 augustus 2024 23:09
R-codes hebben geen verificatie ingebouwd zitten qua herkomst. Eigenlijk zouden we beter meteen stoppen die onveilige door Microsoft uitgevonden codes te gebruiken tot er een uitbreiding op gemaakt wordt die een soort van herkomstverificatie door vb. signing - bevat.
SunnieNL @HollowGamer29 augustus 2024 11:34
Microsoft is niet echt verantwoordelijk voor mensen die een QR code scannen op een pagina die toevallig door hen gehost wordt. Het enige wat ze kunnen doen is de pagina offline halen als ze er een melding van krijgen, net als dat gaat bij alle malafide sites.

De eindgebruiker is hier nog steeds de zwakke schakel. Die scanned blijkbaar zonder na te denken de QR code terwijl die eigenlijk zou moeten denken "waarom staat de informatie niet gelijk op deze pagina".
PolarBear @HollowGamer29 augustus 2024 13:57
Ik denk dat Microsoft wel meewerkt aan het vrijgeven van de eigenaar gegevens aan justitie van de accounts die QR codes hosten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq