Microsoft rapporteerde een grote phishing-campagne die zich tussen 14 april en april richtte op meer dan 35.000 gebruikers in 13.000 bedrijven 16 oktober 2026. De campagne trof gebruikers in 26 landen, waarbij 92% van de phishing-e-mails gericht was aan organisaties in de Verenigde Staten.
De sectoren die het zwaarst getroffen werden, waren gezondheidszorg en biowetenschappen (19%), financiële dienstverlening (18%), professionele dienstverlening (11%) en technologie en software (11%). Microsoft schetste de tactieken die in deze campagne werden gebruikt en merkte op dat bedreigingsactoren gepolijste HTML-sjablonen in ondernemingsstijl gebruikten die ontworpen waren om legitiem over te komen.
In de phishing-e-mails deden aanvallers identiteiten na als ‘Internal Regulatory COC’, ‘Workforce Communications’ en ‘Team Conduct Report’. Deze e-mails hadden als thema ‘interne caselogboeken’ en bevatten waarschuwingen over niet-naleving, waardoor bij de ontvangers een gevoel van urgentie ontstond om actie te ondernemen.
Elke e-mail bevatte een mededeling waarin werd aangegeven dat de e-mail via een geautoriseerd intern kanaal was verzonden, waarin werd beweerd dat de links en bijlagen waren gecontroleerd op veilige toegang. Dit hielp de geloofwaardigheid van de e-mails te versterken.
De phishing-inspanningen omzeilden met succes traditionele e-mailbeveiligingen, waaronder SPF, DKIM en DMARC, omdat aanvallers e-mails stuurden met behulp van legitieme services. Er werden kwaadaardige pdf-bijlagen toegevoegd, waardoor slachtoffers naar phishing-bestemmingspagina’s werden geleid.
Slachtoffers die de pdf’s openden, werden door meerdere CAPTCHA’s geleid, met als doel een vals gevoel van legitimiteit te creëren en automatisch scannen uit te filteren. Het uiteindelijke doel was om in realtime Microsoft-referenties en tokens te verzamelen, waardoor de aanvallers multi-factor authenticatie (MFA) konden omzeilen.
