Nieuws, Privacy

Outlook-add-in gaat op eigen houtje te werk en steelt 4.000 inloggegevens en betalingsgegevens

door Pieter Arntz | 12 februari 2026
Outlook-logo

Onderzoekers hebben een kwaadaardige Microsoft Outlook-add-in gevonden waarmee 4.000 gestolen Microsoft-accountgegevens, creditcardnummers en beveiligingsvragen voor bankrekeningen konden worden gestolen. 

Hoe is het mogelijk dat de Microsoft Office Add-in Store een add-in heeft verwijderd die stilletjes een phishingkit in de zijbalk van Outlook laadde?

Een ontwikkelaar lanceerde een add-in genaamd AgreeTo, een open-source tool voor het plannen van vergaderingen met eenextensie. Het was een populaire tool, maar op een gegeven moment werd deze door de ontwikkelaar verlaten, de backend-URL op Vercel verliep en een aanvaller claimde later dezelfde URL.

Dat vereist enige uitleg. Office-invoegtoepassingen zijn in wezen XML-manifesten die Outlook opdracht geven om een specifieke URL in een iframe te laden. Microsoft controleert en ondertekent het manifest eenmaal, maar controleert niet continu wat die URL later weergeeft.

Toen het subdomein outlook-one.vercel.app vrij kwam om te claimen, greep een cybercrimineel deze kans met beide handen aan om het te bemachtigen en misbruik te maken van de krachtige ReadWriteItem-machtigingen die in 2022 waren aangevraagd en goedgekeurd. Deze machtigingen hielden in dat de invoegtoepassing de e-mail van een gebruiker kon lezen en wijzigen wanneer deze werd geladen. De machtigingen waren geschikt voor een vergaderplanner, maar dienden een ander doel voor de crimineel.

Hoewel Google de dodeextensie februari 2025 verwijderde, bleef de Outlook-add-in in de Microsoft Office Store staan, nog steeds verwijzend naar een Vercel-URL die niet langer toebehoorde aan de oorspronkelijke ontwikkelaar.

Een aanvaller registreerde dat Vercel-subdomein en implementeerde een eenvoudige phishingkit van vier pagina's, bestaande uit een valse Microsoft-login, wachtwoordverzameling, Telegram-gebaseerde gegevensdiefstal en een omleiding naar de echte login.microsoftonline.com.

Wat dit werkbaar maakte, was eenvoudig en effectief. Wanneer gebruikers de add-in openden, zagen ze iets wat leek op een normale Microsoft-aanmelding in Outlook. Ze voerden hun inloggegevens in, die via een JavaScript-functie samen met IP-gegevens naar de Telegram-bot van de aanvaller werden gestuurd, waarna ze werden doorgestuurd naar de echte Microsoft-aanmelding, zodat er niets verdachts leek.

De onderzoekers kregen toegang tot het slecht beveiligde Telegram-kanaal van de aanvaller en herstelden meer dan 4.000 sets gestolen Microsoft-accountgegevens, plus betalings- en bankgegevens, wat erop wijst dat de campagne actief was en deel uitmaakte van een grotere phishingoperatie tegen meerdere merken.

"Dezelfde aanvaller gebruikt minstens 12 verschillende phishingkits, die elk een ander merk nabootsen – Canadese internetproviders, banken, webmailproviders. De gestolen gegevens omvatten niet alleen e-mailgegevens, maar ook creditcardnummers, CVV's, pincodes en beveiligingsvragen voor bankrekeningen die worden gebruikt om Interac e-Transfer-betalingen te onderscheppen. Dit is een professionele phishingoperatie die meerdere merken omvat. De Outlook-invoegtoepassing was slechts één van de distributiekanalen."

Wat te doen

Als u de AgreeTo-invoegtoepassing na mei 2023 gebruikt of ooit hebt gebruikt:

  • Zorg ervoor dat het verwijderd is. Als dat niet het geval is, verwijder dan de invoegtoepassing.
  • Wijzig het wachtwoord voor uw Microsoft-account.
  • Als dat wachtwoord (of varianten daarvan) ook voor andere diensten (e-mail, bankieren, SaaS, sociale media) werd gebruikt, wijzig die dan ook en maak elk wachtwoord uniek.
  • Bekijk recente aanmeldingen en beveiligingsactiviteiten op uw Microsoft-account en zoek naar aanmeldingen vanaf onbekende locaties of apparaten, of op ongebruikelijke tijdstippen.
  • Controleer andere gevoelige informatie die u mogelijk via e-mail hebt gedeeld.
  • Controleer uw mailbox op tekenen van misbruik: berichten die u niet hebt verzonden, regels voor automatisch doorsturen die u niet hebt ingesteld of e-mails voor het opnieuw instellen van wachtwoorden voor andere diensten die u niet hebt aangevraagd.
  • Controleer uw afschriften de komende maanden goed, vooral op kleine 'test'-afschrijvingen en onverwachte e-transfers of transacties waarbij de kaart niet fysiek aanwezig was, en betwist alles wat verdacht lijkt onmiddellijk.

We rapporteren niet alleen over bedreigingen, we helpen ook uw volledige digitale identiteit te beveiligen.

Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Bescherm uw persoonlijke gegevens en die van uw gezin door identiteitsbescherming te gebruiken.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

AI
Een hand reikt naar beneden om een sterretje uit een geschreven wachtwoord te pakken.

Door AI gegenereerde wachtwoorden vormen een veiligheidsrisico

Februari 19, 2026

Door AI gegenereerde wachtwoorden zijn "zeer voorspelbaar" en niet echt willekeurig, waardoor ze gemakkelijker te kraken zijn voor cybercriminelen.

Nieuws
Tenga-logo

Fabrikant van intieme producten Tenga heeft klantgegevens gelekt

Februari 19, 2026

Een phishingaanval op een medewerker van Tenga heeft mogelijk gegevens van Amerikaanse klanten blootgelegd. Klanten moeten alert zijn op phishingpogingen met seksuele chantage als thema.

Datalekken
Betterment-logo

Het datalek bij Betterment is mogelijk ernstiger dan we dachten

Februari 18, 2026

Deze inbreuk lijkt nu veel ernstiger te zijn. De gelekte gegevens bevatten uitgebreide persoonlijke en financiële details die phishers zouden kunnen gebruiken.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting