Nieuws, Oplichting

Aanvallers misbruiken de ingebouwde omleidingen van OAuth om phishing- en malware-aanvallen uit te voeren.

door Pieter Arntz | 4 maart 2026
Het is een valstrik OAuth-omleidingen

Aanvallers misbruiken normale OAuth-foutomleidingen om gebruikers van een legitieme Microsoft- of Google-inlog-URL naar phishing- of malwarepagina's te sturen, zonder ooit een succesvolle aanmelding te voltooien of tokens uit de OAuth-stroom zelf te stelen.

Dat vraagt om wat meer uitleg.

OAuth (Open Authorization) is een open standaardprotocol voor gedelegeerde autorisatie. Hiermee kunnen gebruikers websites of applicaties toegang verlenen tot hun gegevens op een andere dienst (bijvoorbeeld Google of Facebook) zonder hun wachtwoord te delen. 

OAuth-omleiding is het proces waarbij een autorisatieserver de browser van een gebruiker na gebruikersauthenticatie terugstuurt naar een applicatie (client) met een autorisatiecode of token.

Onderzoekers hebben ontdekt dat phishers stille OAuth-authenticatiestromen en opzettelijk ongeldige scopes gebruiken om slachtoffers om te leiden naar door aanvallers gecontroleerde infrastructuur zonder tokens te stelen.

Hoe ziet deze aanval eruit vanuit het perspectief van het doelwit?

Vanuit het perspectief van de gebruiker ziet de aanvalsketen er ongeveer zo uit:

De e-mail

Er komt een e-mail binnen met een aannemelijk zakelijk lokmiddel. U ontvangt bijvoorbeeld een e-mail over iets routinematigs maar dringends: het delen of beoordelen van documenten, een bericht van de sociale zekerheid of een financiële mededeling, een HR- of werknemersrapport, een uitnodiging Teams of het opnieuw instellen van een wachtwoord.

De e-mailtekst bevat een link zoals 'Document bekijken' of 'Rapport bekijken', of een PDF-bijlage met een link.

Je klikt op de link nadat je hebt gezien dat het een normale Microsoft- of Google-login lijkt te zijn. De zichtbare URL (wat je ziet als je er met de muis overheen gaat) ziet er overtuigend uit en begint met een vertrouwd domein zoals https://login.microsoftonline.com/  of https://accounts.google.com/.

Er zijn geen duidelijke aanwijzingen dat de parameters (prompt=none, oneven of leeg bereik, gecodeerde status) abnormaal zijn.

Stille OAuth

De vervalste URL probeert een stille OAuth-autorisatie uit te voeren (prompt=none) en gebruikt parameters die gegarandeerd zullen mislukken (bijvoorbeeld een ongeldig of ontbrekend bereik).

De identiteitsprovider evalueert uw sessie en voorwaardelijke toegang, stelt vast dat het verzoek niet stilzwijgend kan worden uitgevoerd en retourneert een OAuth-fout, zoals interaction_required, access_denied of consent_required.

De omleiding

Het is zo ontworpen dat de OAuth-server je browser dan doorstuurt, inclusief de foutparameters en status, naar de geregistreerde doorstuur-URI van de app, wat in deze gevallen het domein van de aanvaller is.

Voor de gebruiker is dit slechts een korte flits van een Microsoft- of Google-URL, gevolgd door een andere pagina. Het is onwaarschijnlijk dat iemand de fouten in de queryreeks zou opmerken.

Landingspagina

Het doelwit wordt omgeleid naar een pagina die eruitziet als een legitieme inlog- of bedrijfssite. Dit kan heel goed een kloon zijn van de site van een vertrouwd merk.

Vanaf hier zijn er twee mogelijke schadelijke scenario's:

Phishing / Attacker in the Middle (AitM) variant

Een normale inlogpagina of een verificatieprompt, soms met CAPTCHA's of interstitials om er betrouwbaarder uit te zien en bepaalde controles te omzeilen.

Het e-mailadres is mogelijk al ingevuld omdat de aanvallers het via de statusparameter hebben doorgegeven.

Wanneer de gebruiker inloggegevens en multi-factor authenticatie (MFA) invoert, onderschept de attacker-in-the-middle-toolkit deze, inclusief sessiecookies, terwijl ze worden doorgegeven, zodat de ervaring legitiem aanvoelt.

Variant voor het verspreiden van malware

Onmiddellijk (of na een korte tussenpagina) komt de browser op een downloadpad terecht en wordt automatisch een bestand gedownload.

De context van de pagina komt overeen met de lokroep ("Download het beveiligde document", "Vergaderingsbronnen", enzovoort), waardoor het redelijk lijkt om het bestand te openen.

Het doelwit merkt misschien dat het bestand wordt geopend of dat het systeem wat trager wordt, maar verder is de inbreuk vrijwel onzichtbaar.

Potentiële impact

Door inloggegevens te verzamelen of een achterdeur te plaatsen, heeft de aanvaller nu voet aan de grond op het systeem. Van daaruit kunnen ze, afhankelijk van hun doelstellingen, hands-on-keyboard-activiteiten uitvoeren, zich lateraal verplaatsen, gegevens stelen of ransomware installeren.

De verzamelde inloggegevens en tokens kunnen worden gebruikt om toegang te krijgen tot e-mail, cloudapps of andere bronnen zonder dat er malware op het apparaat hoeft te worden geïnstalleerd.

Hoe blijf ik veilig

Aangezien de aanvaller uw token uit deze stroom niet nodig heeft (alleen de omleiding naar zijn eigen infrastructuur), lijkt het OAuth-verzoek zelf misschien minder verdacht. Wees waakzaam en volg ons advies op:

  • Als u vertrouwt op het aanwijzen van links, wees dan extra voorzichtig wanneer u zeer lange URL's ziet met oauth2, authorize en veel gecodeerde tekst, vooral als ze van buiten uw organisatie afkomstig zijn.
  • Zelfs als het begin van de URL legitiem lijkt, controleer dan bij een betrouwbare afzender voordat u op de link klikt.
  • Als u een dringende e-mail ontvangt die u onmiddellijk dwingt om op een onbekende manier in te loggen of een onverwachte download start, ga er dan vanuit dat deze kwaadaardig is totdat het tegendeel is bewezen.
  • Als u naar een onbekende website wordt doorgestuurd, stop dan en sluit het tabblad.
  • Wees zeer voorzichtig met bestanden die onmiddellijk worden gedownload nadat u op een link in een e-mail hebt geklikt, vooral als deze afkomstig is van /download/ paden.
  • Als een website zegt dat u iets moet 'uitvoeren' of 'inschakelen' om een beveiligd document te bekijken, sluit deze dan en controleer nogmaals op welke website u zich bevindt. Het kan zijn dat er iets niet in de haak is.
  • Houd uw besturingssysteem, browser en uw favoriete beveiligingsprogramma's up-to-date. Deze kunnen veel bekende phishingkits en malware-downloads automatisch blokkeren.

Pro-tip: gebruik Malwarebytes Guard om te bepalen of de e-mail die u hebt ontvangen een scam is of niet.

We rapporteren niet alleen over zwendel, we helpen ook bij het opsporen ervan

Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Als iets u verdacht lijkt, controleer dan of het om oplichting gaat met Malwarebytes Guard. Stuur een screenshot, plak verdachte inhoud of deel een link, tekst of telefoonnummer, en wij vertellen u of het om oplichting gaat of dat het legitiem is. Beschikbaar met Malwarebytes Premium voor al uw apparaten en in de Malwarebytes voor iOS Android.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
Chinese Muur

Wil het Verenigd Koninkrijk VPN's echt verbieden? En is dat wel mogelijk?

Maart 4, 2026

Berichten over een "Great British Firewall" zijn overdreven. En zelfs als ze dat zouden willen, zou het om de volgende redenen vrijwel onmogelijk zijn.

Nieuws
Het is een valstrik OAuth-omleidingen

Aanvallers misbruiken de ingebouwde omleidingen van OAuth om phishing- en malware-aanvallen uit te voeren.

Maart 4, 2026

Onderzoekers hebben ontdekt dat aanvallers OAuth misbruiken om gebruikers van legitieme inlogpagina's van Microsoft of Google naar phishing-sites of malware-downloads te leiden.

Mobiel
gepatchte Android

Ernstige Qualcomm-bug treft Android in gerichte aanvallen

Maart 4, 2026

Google heeft 129 Android gepatcht, waaronder een actief misbruikte fout in een veelgebruikte Qualcomm-component.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting