Een medewerker meldt dat hij op een link in een e-mail heeft geklikt. Misschien is er zelfs ingelogd op een nepwebsite.
Op dat moment telt vooral een ding: snel en gestructureerd handelen.
In dit artikel lees je welke stappen je direct moet nemen en hoe je de impact beperkt binnen een Microsoft 365-omgeving.
Phishing is een vorm van digitale oplichting waarbij een aanvaller zich voordoet als een betrouwbare partij.
De e-mail lijkt bijvoorbeeld afkomstig van:
Microsoft
Een bank
Een leverancier
Een collega
De link verwijst naar een nagemaakte website waar inloggegevens worden buitgemaakt.
Belangrijk:
Zelfs als iemand “alleen maar heeft geklikt”, kan er al risico zijn. Denk aan:
Malware-download
Doorsturen naar een nep-inlogpagina
Automatische sessiecookies die worden onderschept
Ga dus altijd uit van een mogelijk beveiligingsincident.
De impact kan groot zijn:
Accountovername
Datalek
Factuurfraude
Interne verspreiding via e-mail
Aanvallers handelen vaak binnen minuten. Hoe sneller je reageert, hoe kleiner de schade.
Voor bedrijven is phishing nog steeds de meest voorkomende oorzaak van beveiligingsincidenten.
Werk onderstaande stappen direct af.
Reset het wachtwoord van de medewerker.
Let op:
Gebruik een sterk, nieuw wachtwoord
Laat alle actieve sessies afmelden (in Microsoft Entra ID: “Sign-in sessions intrekken”)
Is MFA nog niet actief?
Schakel dit direct in.
Vraag de medewerker:
Heeft hij alleen geklikt?
Of ook daadwerkelijk gegevens ingevuld?
Zijn inloggegevens ingevoerd?
Ga er dan vanuit dat het account gecompromitteerd is en voer ook extra controles uit (zie stap 3 en 4).
Ga in Microsoft Entra ID naar de aanmeldingslogboeken.
Let op:
Onbekende landen
Ongebruikelijke tijdstippen
Meerdere mislukte inlogpogingen
Nieuwe apparaten
Zie je verdachte activiteiten?
Onderzoek of er ook acties zijn uitgevoerd binnen het account.
Aanvallers stellen vaak regels in om hun sporen te verbergen.
Controleer:
Inboxregels
Doorstuurinstellingen
Automatische antwoorden
Map “Verzonden items”
Verwijder onbekende regels direct.
Is er vanuit het account phishing verstuurd naar collega’s of klanten?
Informeer betrokkenen direct.
Hoe eerder zij gewaarschuwd zijn, hoe kleiner de kettingreactie.
Laat het apparaat controleren op malware.
Dit kan via:
Endpoint Detection & Response (EDR)
Antivirus met recente updates
Eventueel een aanvullende securityscan
Vooral als er bestanden zijn gedownload, is dit essentieel.
Alleen het wachtwoord wijzigen en verder niets doen
Geen controle uitvoeren op mailboxregels
Geen MFA activeren na het incident
Het incident niet documenteren
Controleer ook:
Andere accounts met vergelijkbare wachtwoorden
Accounts zonder MFA
Beheerdersaccounts
Een phishingincident is vaak geen op zichzelf staand probleem, maar een signaal dat extra beveiligingsmaatregelen nodig zijn.
Een medewerker die op een phishinglink klikt is geen uitzondering. Het gebeurt dagelijks.
Het verschil zit in:
Hoe snel je reageert
Hoe goed je omgeving is ingericht
Of je structureel leert van het incident
Cyber security is geen momentopname, maar een continu proces van verbeteren en aanscherpen.
Je komt erachter dat een Microsoft 365-account verdachte e-mails verstuurt. Of een gebruiker meldt dat er onbekende activiteiten zichtbaar zijn in zijn mailbox. Op het moment dat dit geberud telt er vooraal een ding: snel en gestructureerd handelen.
In dit kennisbank artikel lees je wat je direct moet doen wanneer een Microsoft 365-account is gehackt of vermoedelijk is misbruikt.
Bij een hack van een Microsoft 365-account heeft een onbevoegde toegang gekregen tot het account van een gebruiker.
Dit gebeurt meestal via:
Een gelekt of geraden wachtwoord
Phishing (een nep e-mail waarmee inloggegevens worden verkregen)
Geen of slecht ingestelde Multi-Factor Authenticatie (MFA)
Een aanvaller gebruikt het account vaak om:
Spam of phishing te versturen
Facturen te onderscheppen of aan te passen
Gevoelige informatie te downloaden
Regels in de mailbox in te stellen om communicatie te verbergen
Belangrijk: ook als alleen spam wordt verstuurd, moet je ervan uitgaan dat het account volledig gesaboteerd is.
Een gehackt account is niet alleen een probleem voor die ene gebruiker.
De impact kan zijn:
Reputatieschade doordat klanten phishing ontvangen
Financiële schade door factuurfraude
Datalekken (AVG-risico)
Verspreiding binnen de organisatie
Hoe langer je wacht, hoe groter de schade. Daarom is een vaste aanpak heel erg belangrijk.
Onderstaande stappen kun je direct uitvoeren.
Reset het wachtwoord van de gebruiker.
Meld alle actieve sessies af (in Microsoft Entra ID / Azure AD: “Sign-in sessions intrekken”).
Controleer of MFA actief is.
Zo niet: direct inschakelen.
Zo ja: controleer of er onbekende MFA-methodes zijn toegevoegd.
Tip: Verwijder eventueel onbekende telefoonnummers of authenticator-apps uit de beveiligingsinstellingen.
Aanvallers maken vaak regels aan die:
Binnenkomende e-mails automatisch verwijderen
Berichten doorsturen naar een extern e-mailadres
Antwoorden manipuleren en aanpassen
Controleer in Outlook of via Exchange Admin Center:
Inboxregels
Doorstuurinstellingen
Automatische antwoorden
Verwijder alles wat niet bekend of verklaarbaar is.
Bekijk:
De map “Verzonden items”
Eventuele verdachte bulkmail
Onbekende contactmomenten
Informeer indien nodig klanten of relaties dat er phishing is verstuurd.
In Microsoft Entra ID kun je de aanmeldingslogboeken bekijken.
Let op:
Onbekende landen
Onbekende IP-adressen
Inlogpogingen buiten werktijden
Zie je verdachte locaties? Dan is de kans groot dat het account daadwerkelijk is misbruikt.
Dit hangt af van je Microsoft 365-licentie.
Controleer indien mogelijk:
Ongebruikelijke downloadactiviteit
Grote hoeveelheden geraadpleegde bestanden
Toegang tot SharePoint of Teams-omgevingen
Bij twijfel: ga uit van datalek en beoordeel of melding noodzakelijk is.
Wat er is gebeurd
Hoe phishing is ontstaan (indien bekend)
Wat voortaan anders moet
Beveiliging is ook bewustwording.
Alleen het wachtwoord wijzigen en verder niets controleren
Geen MFA inschakelen na het incident
Mailboxregels vergeten te controleren
Geen onderzoek doen naar andere accounts
Als een account is gehackt, controleer dan ook:
Accounts met vergelijkbare wachtwoorden
Accounts zonder MFA
Accounts met beheerdersrechten
Vaak is een gehackt account een gevolg van een groter beveiligingsprobleem.
Voorkomen is eenvoudiger dan herstellen.
Minimale basismaatregelen:
MFA verplicht voor alle gebruikers
Geen globale beheerdersaccounts voor dagelijks gebruik
Conditional Access-beleid instellen
Logging en monitoring activeren
Security awareness-training voor medewerkers
Heb je dit niet ingericht? Dan is de kans groot dat het opnieuw gebeurt.
Een gehackt Microsoft 365-account is geen theoretisch risico. Het gebeurt dagelijks bij MKB-organisaties.
Het verschil zit niet in óf het geprobeerd wordt, maar in hoe snel en goed je reageert.
Zorg daarom dat je:
Een vast stappenplan hebt
MFA standaard verplicht
Regelmatig controleert op afwijkingen
Cyber security is geen eenmalige instelling, maar een continu proces.