- Twee klanten rapporteerden een phishingmail. Geen simulatie, maar een echte dreiging.
- De phishing kwam van een gehackt klantenaccount dat via Microsoft Forms naar een nagemaakte Microsoft-login leidde.
- Dankzij onze awarenessmodule werd het bericht direct gemeld en zijn er geen gegevens gelekt.
- Onze anti-AiTM browserextensie herkende deze variant niet; onderzoek werd meteen opgestart.
- Met inzet van onze interne AI kon binnen 1,5 uur een geanalyseerde en geteste oplossing worden uitgerold naar duizenden gebruikers.
- Dit incident toont de kracht van de combinatie: alert personeel, snelle SOC-detectie, directe samenwerking en AI-versnelling.
In ons SOC kwamen onlangs twee opvallende meldingen binnen. Beide waren ingediend door klanten via de “Dit is phishing”-knop in Outlook. Op zichzelf niets bijzonders, totdat bleek dat het deze keer geen simulaties waren uit onze awarenessmodule, maar échte dreigingen.
Een opvallende mismatch
Kort na binnenkomst van de meldingen doken onze analisten het securityportaal in. We gebruiken een AI-model dat automatisch diepgaande analyses uitvoert op gerapporteerde e-mails. Wat direct opviel: de checks van het portaal kwamen niet overeen met de AI-analyse. Dat is al reden genoeg om dieper te graven.
Niet veel later ontdekten we dat hetzelfde exacte bericht ook bij een andere klant was binnengekomen én gerapporteerd. Dat versmalde het zoekgebied aanzienlijk.

Echte relatie, gehackt account
Na verdere analyse bleek het phishingbericht afkomstig te zijn van een legitieme klantrelatie, maar het betreffende account was gekaapt. De aanvallers maakten gebruik van een Microsoft Forms-document dat doorlinkte naar een nagemaakte Microsoft-loginpagina. Een klassieke, maar gevaarlijke vorm van phishing.
Gelukkig waren de medewerkers van onze klanten scherp. Dankzij onze awareness dienstverlening werd het bericht terecht gemarkeerd als phishing. Na contact met de klant werd bevestigd dat er geen gegevens waren ingevuld. De schade bleef dus beperkt.
Waarom sloeg onze eigen anti-AiTM-extensie niet uit?
Tijdens het onderzoek zagen we al snel iets opvallends: de anti AiTM-browserextensie stond bij de betreffende medewerker gewoon actief, maar gaf geen enkele waarschuwing. Dat was voor ons direct aanleiding om dieper te graven. Om 15:15 schakelde onze analist een interne ontwikkelaar in om te achterhalen waarom deze aanval buiten de bestaande detectieregels viel en of aanvullende bescherming nodig was.
AI als versneller in onze verdediging
Na overdracht aan onze ontwikkelaars werd de phishingpagina inhoudelijk geanalyseerd. Om zo snel mogelijk te kunnen reageren, werd onze interne AI ingezet. Deze AI heeft toegang tot de modulecode én de configuratieset en kon daardoor:
- De phishingaanval technisch ontleden,
- Een passend configuratievoorstel doen voor betere detectie,
- En een patch genereren voor onze extensie.
Het resultaat: Binnen 1,5 uur, om 16:45 was een geteste oplossing uitgerold naar duizenden gebruikers van de extensie.
Dat is precies waarom wij continu investeren in AI-gedreven security: niet als gimmick, maar als concrete versneller van onze incident response.

Kennis + Technologie + Samenwerking
Dit incident laat perfect zien hoe onze organisatie werkt wanneer het erop aankomt:
- Klanten die dankzij awareness scherp blijven en dreigingen op tijd melden
- Analisten die afwijkingen spotten en doorpakken
- Ontwikkelaars die direct inspringen
- En AI-technologie die het werk versnelt en versterkt
Menselijke alertheid, technische innovatie en interne samenwerking kwamen hier naadloos samen. En dat is uiteindelijk precies wat cybersecurity effectief maakt.