- Phishingmail verstuurd uit naam van de (nep) administratie
- Onderwerp: salarisaanpassing – een herkenbaar en geloofwaardig thema
- Bijlage bevatte een .eml bestand (e-mail in e-mail)
- In de .eml een zeer realistisch nagemaakte interne e-mail
- Geen link, maar een QR-code als aanvalsvector
- QR-code leidde naar een nagemaakte Microsoft loginpagina
- E-mailadres van de gebruiker was al vooraf ingevuld
- Doel: inloggegevens buitmaken buiten de laptop om
- Aanval geblokkeerd door HOB Secure Email
- De achterliggende link wordt bovendien herkend door DNS Security
Cybercriminelen blijven hun methodes verfijnen. Recent werd bij een van onze klanten een zeer geavanceerde phishingpoging waargenomen, waarbij meerdere beveiligingslagen bewust werden omzeild. De aanval was geraffineerd opgezet, realistisch uitgevoerd en duidelijk gericht op het misleiden van de eindgebruiker.
Dankzij onze Secure Email-dienst werd de aanval tijdig herkend en geblokkeerd. Deze casus laat opnieuw zien waarom inzicht, context en meerdere beveiligingslagen essentieel zijn voor digitale weerbaarheid.
Hoe deze aanval werkte
Stap 1 - Vertrouwen wekken via herkenbare context
De phishingmail leek afkomstig van de administratieafdeling van de organisatie. Het onderwerp ging over een salarisaanpassing, een onderwerp waarbij gebruikers geneigd zijn snel te handelen en minder kritisch te zijn. De afzendernaam, tone of voice en timing sloten goed aan bij de organisatie. Op het eerste gezicht was er geen reden tot argwaan.
Stap 2 - Misbruik van .eml bestanden
In plaats van een klassieke PDF of link bevatte de e-mail een .eml bijlage. Een .eml bestand is een e-mailbericht in zijn oorspronkelijke vorm. Belangrijk detail: Een .eml bestand kan volledig handmatig worden opgebouwd. Dat betekent dat:
- Het Van-adres exact kan kloppen;
- Headers visueel betrouwbaar lijken;
- De opmaak identiek kan zijn aan interne e-mails. Na het openen van de bijlage kreeg de gebruiker een zeer overtuigende interne e-mail te zien, compleet in huisstijl van het bedrijf.

Stap 3 - Het venijn zit in de QR-code
In deze interne e-mail zat geen klikbare link. In plaats daarvan werd de gebruiker gevraagd een QR-code te scannen om het document te bekijken. Dit is een cruciale stap in deze aanval:
- De gebruiker pakt zijn telefoon;
- De beveiliging van de laptop wordt volledig omzeild;
- Traditionele endpoint bescherming speelt hier nauwelijks nog een rol.

Stap 4 - Een levensechte Microsoft loginpagina
Na het scannen van de QR-code werd de gebruiker doorgestuurd naar een zeer realistisch nagemaakte Microsoft-loginpagina. Wat deze aanval extra geraffineerd maakt:
- Het e-mailadres van de gebruiker was al ingevuld;
- Dit wekt vertrouwen (“Microsoft weet wie ik ben”);
- De gebruiker hoeft alleen nog een wachtwoord in te voeren. Hiermee zou volledige-mailbox toegang mogelijk zijn geweest.

Waarom deze aanval zo gevaarlijk is
Deze phishingpoging combineert meerdere technieken:
- Social engineering (salaris/ administratie);
- Technische misleiding (.eml bestanden);
- QR-code phishing (quishing);
- Omzeiling van endpoint beveiliging;
- Realistische identity phishing. Zonder de juiste beveiliging én inzicht is dit type aanval zeer lastig te herkennen voor eindgebruikers.
Hoe HOB dit heeft tegengehouden
Secure Email: eerste verdedigingslinie
Onze Secure Email-dienst herkende deze aanval en blokkeerde de e-mail voordat deze de gebruiker bereikte. Op basis van:
- Afwijkende e-mailstructuur;
- Misbruik van bijlagen;
- Verdachte content opbouw.

DNS Security: tweede vangnet
Daarnaast geldt dat de achterliggende link achter de QR-code wordt herkend door onze DNS Security-oplossing. Mocht een gebruiker de QR-code tóch scannen en de link openen, dan wordt de verbinding geblokkeerd voordat er credentials kunnen worden ingevoerd.

Wat deze casus opnieuw laat zien
Deze aanval benadrukt een belangrijke realiteit: Beveiliging stopt niet bij e-mail of endpoint. Inzicht over meerdere lagen maakt het verschil.
- Aanvallers verplaatsen zich tussen e-mail, identiteit en mobiele apparaten
- Eén enkele maatregel is niet voldoende
- Context en correlatie zijn essentieel
Tot slot
Cybercriminelen blijven innoveren. Door gebruik te maken van QR-codes, realistische e-mailstructuren en identity phishing proberen zij traditionele beveiligingsmaatregelen te omzeilen. Met een combinatie van Secure Email, DNS Security en continu inzicht zorgen wij ervoor dat ook deze nieuwe aanvalstechnieken tijdig worden herkend en gestopt.
HOB ICT Security - oog voor jouw digitale weerbaarheid.