Nieuws, Oplichting

De Kali365-phishingkit omzeilt MFA en steelt Microsoft-inloggegevens

door Pieter Arntz | 27 mei 2026
phishing op grote schaal

Als de Federal Bureau of Investigation (FBI) een speciale voorlichtingscampagne publiceert over een nieuwe phishingkit, is het de moeite waard om daar aandacht aan te besteden.

Het bureau waarschuwt nu voor „Kali365“, een „phishing-as-a-service“ (PhaaS)-platform waarmee zelfs onervaren aanvallers Microsoft 365-accounts kunnen kapen door toegangstokens te stelen in plaats van wachtwoorden.

Hoewel de eerste berichten vooral gaan over aanvallen op organisaties, werkt de onderliggende techniek net zo goed tegen individuele Microsoft 365-gebruikers die worden misleid om een korte code in te voeren op een echte Microsoft-website. Met andere woorden: dit is niet alleen een probleem voor bedrijven of IT-afdelingen. Het kan iedereen treffen die een abonnement heeft op Outlook, OneDrive of Microsoft 365.

Voor cybercriminelen die deze kit gebruiken, biedt deze drie duidelijke voordelen:

  • Het omzeilt meervoudige authenticatie (MFA) door toegangstokens te stelen, waardoor extra codes of apps geen bescherming meer bieden zodra het token is gehackt.
  • Kali365 biedt permanente toegang. De aanvallers kunnen Outlook, Teams en OneDrive blijven gebruiken zonder telkens opnieuw in te loggen, zolang het gestolen vernieuwingstoken geldig blijft.
  • Er is weinig technische kennis voor nodig. Cybercriminelen kunnen zich aanmelden bij Kali365 en direct op grote schaal campagnes starten om inloggegevens te stelen.

Hoe ziet de aanval eruit?

Slachtoffers ontvangen een phishingbericht dat eruitziet alsof het afkomstig is van een clouddienst of samenwerkingsprogramma, bijvoorbeeld een melding over het delen van documenten of Teams . Het bericht bevat een korte ‘apparaatcode’ en instructies zoals: ‘Ga naar de verificatiepagina van Microsoft en voer deze code in om het document te bekijken.’

Oplichterij of betrouwbaar? Scam Guard weet het.

In tegenstelling tot veel phishing-e-mails wordt u bij deze e-mail doorgestuurd naar een echte Microsoft-URL die wordt gebruikt voor het aanmelden op apparaten. Voor de gebruiker ziet de pagina er vertrouwd en volkomen legitiem uit, waardoor het wantrouwen wordt gewekt.

Slachtoffers krijgen vervolgens de standaardaanmeldings- en toestemmingsschermen van Microsoft te zien en denken wellicht dat ze gewoon een normale veiligheidscontrole doorlopen. Ze krijgen nooit een valse pagina te zien, voeren hun wachtwoord nooit in via een verdacht formulier en zien mogelijk zelfs de huisstijl van hun organisatie.

Maar wat ze zich niet realiseren, is dat ze de aanvaller toegang hebben verschaft.

Zodra het slachtoffer het verzoek goedkeurt, ontvangt het apparaat van de aanvaller OAuth- toegangs- en vernieuwingstokens die aan het Microsoft 365-account van het slachtoffer zijn gekoppeld. Deze tokens gebruikt Microsoft om te ‘onthouden’ dat je al bent ingelogd, en ze kunnen worden hergebruikt om toegang te krijgen tot Outlook, OneDrive, Teams en andere Microsoft-diensten zonder dat je opnieuw een wachtwoord hoeft in te voeren.

Met geldige vernieuwingstokens kunnen aanvallers langdurig toegang behouden totdat de tokens worden ingetrokken of verlopen, waarbij ze zich vaak vermommen als normale accountactiviteit.

Door die toegang kunnen cybercriminelen:

  • Outlook-e-mails lezen, inclusief berichten voor het opnieuw instellen van wachtwoorden
  • Toegang tot bestanden die zijn opgeslagen in OneDrive of SharePoint
  • Stuur vanuit het account van het slachtoffer phishing-e-mails naar collega’s, klanten, vrienden of familie

Hoe u uzelf kunt beschermen

Zodra ze toegang hebben tot Outlook, kunnen aanvallers niet alleen uw berichten lezen, maar ook overtuigende nieuwe berichten versturen vanaf uw adres, waarbij ze uw identiteit gebruiken om nog meer accounts en contactpersonen te misbruiken.

Een paar tips om dit te vermijden:

  • Voer nooit een code in op een inlogpagina van Microsoft alleen omdat dat in een e-mail of bericht wordt gevraagd. Doe dit alleen als u zelf het inlogproces op uw eigen apparaat hebt gestart.
  • Neem even de tijd en lees de instructies goed door. Als je de goedkeuringen voor het inloggen overhaast doorloopt zonder ze aandachtig te lezen, kan dat je duur komen te staan.
  • Wees op uw hoede voor onverwachte uitnodigingen om documenten te delen, Teams of verzoeken om in te loggen, zelfs als daarvoor officiële Microsoft-pagina’s worden gebruikt.
  • Controleer op https://account.microsoft.com/devices/ welke apparaten er onder uw account zijn aangemeld. Als u onbekende apparaten of aanmeldingen ziet, verwijder deze dan, wijzig het wachtwoord van uw Microsoft-account en controleer uw beveiligingsinstellingen.

Tip van een expert: Met Malwarebytes Guardkun je nagaan of een bericht nep is.

Laten we eerlijk zijn: een incognitovenster heeft zo zijn beperkingen.

Datalekken, handel op het dark web, kredietfraude. Malwarebytes Identity Theft houdt dit allemaal in de gaten, waarschuwt u direct en biedt bovendien een verzekering tegen identiteitsdiefstal. 

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
Telefoon op tafel

Het bedrijf beweerde dat de microfoons van hun telefoons gesprekken konden afluisteren. Dat was niet het geval.

Mei 27, 2026

Cox Media beweerde dat het gebruikers via hun apparaten kon bespioneren en die informatie kon gebruiken voor gerichte reclame, maar dat bleek niet te kloppen.

Privacy
LinkedIn

Valse LinkedIn maken misbruik van Adobe om slachtoffers te volgen

Mei 27, 2026

Phishers stelen LinkedIn door misbruik te maken van Adobe Target om slachtoffers te volgen en hen door te sturen naar echte LinkedIn .

Insecten
ClickFix bootst Windows na

Meer dan 700 websites op het gebied van onderwijs en technologie zijn gekaapt tijdens een grootschalige ClickFix-malwarecampagne

Mei 26, 2026

Hackers misbruik van een kwetsbaarheid in het Ghost CMS om valse Cloudflare-verificatiepagina’s weer te geven, waarmee ze gebruikers ertoe aanzetten hun eigen pc’s te infecteren.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting