Cybercriminelen richten zich steeds vaker op SaaS-toepassingen in Nederland. Microsoft Threat Intelligence waarschuwde onlangs voor een groep aanvallers – met karakteristieken van ShinyHunters – die OAuth-instellingen van cloudtoepassingen misbruiken. De aanpak is doelgericht en veelzijdig: voice phishing, ketenaanvallen en vooral slecht geconfigureerde gasttoegang vormen het wapen. Voor Nederlandse organisaties een wake-up call.
De aanval: laagdrempelig maar effectief
Het aanvalspatroon is niet revolutionair, maar daarom niet minder gevaarlijk. De criminelen gebruiken voice phishing – telefoongesprekken waarin ze zich voordoen als IT-supporter – om inloggegevens of verificatiecodes los te krijgen. Eenmaal binnen de deur richten ze zich op OAuth-autorisaties: de toegangsrechten die apps krijgen via cloudservices als Microsoft 365 of Google Workspace.
De zwakke plek zit hem vaak in gasttoegang. Veel organisaties geven externe partners of klanten toegang tot bepaalde applicaties en mappen. Die instellingen raken snel ongeordend. Gasten met beperkte rechten kunnen plotseling folders zien die ze niet zouden moeten zien. Of ze krijgen toestemming om apps te autoriseren die brede toegang hebben.
Eenmaal geautoriseerd, kunnen de criminelen mailboxen raadplegen, bestanden stelen en zich voordoen als vertrouwde contacten – zonder dat het opvalt.
Drie essentiële verdedigingslagen
Gasttoegang streng beheren. Controleer wie gasttoegang heeft en tot welke resources. Dit klinkt simpel, maar veel organisaties hebben geen centraal zicht. Zet gasttoegang regelmatig op de agenda van uw IT-team. Welke partners hebben nog steeds rechten nodig? Kunnen rechten worden ingeperkt? Gebruik conditional access policies om gasttoegang aan extra voorwaarden te binden – bijvoorbeeld verificatie via mobiel of beperking tot bepaalde netwerken.
OAuth-permissies auditen. Elke medewerker kan via Microsoft 365 of Google apps toestemming geven. Een medewerker klikt op ‘Inloggen met Microsoft’ bij een onbekende site – en plots heeft die site toegang tot zijn contacten en agenda. Controleer regelmatig welke toepassingen welke rechten hebben in uw tenant. Blokkeer apps die niet noodzakelijk zijn. Veel beheerders weten niet eens welke apps hun medewerkers hebben geautoriseerd.
Training tegen sociale manipulatie. Voice phishing werkt alleen als het geloofwaardig is. Zorg dat uw team weet: IT-medewerkers vragen nooit om wachtwoorden via de telefoon. Bouw een cultuur waarin medewerkers zonder schuldgevoel kunnen zeggen: ‘Ik bel u terug via het algemene nummer.’ Of: ‘Ik verifieer uw identiteit eerst.’ Dit vermindert de kans dat aanvallers binnenkomen.
Praktisch stappenplan
Start met een audit. Maak inzichtelijk wie op wat toegang heeft. Controleer in Microsoft Entra ID welke toepassingen zijn geregistreerd. Zet een beleid op voor app-goedkeuringen: niet elke medewerker mag willekeurig apps autoriseren. Configureer multi-factor authentication voor kritieke operaties. En ja: geef security awareness training met voice phishing als expliciet onderwerp.
SaaS-toepassingen bieden flexibiliteit, maar die flexibiliteit vereist structuur. ShinyHunters en vergelijkbare groepen speculeren erop dat Nederlandse bedrijven die structuur missen. U kunt dat risico substantieel verkleinen.
Wilt u uw SaaS-beveiliging inspecteren? IT Vanguard helpt u uw Microsoft 365- en cloudtoepassingen tegen deze bedreigingen te beveiligen.
Gebaseerd op berichtgeving van de oorspronkelijke bron.
