Schrikgolf door onderwijssector na succesvolle BEC-aanval
Vandaag, woensdag 20 mei 2026, meldde School-CERT een succesvolle Business Email Compromise-aanval binnen de onderwijssector waarbij phishing leidde tot compromittering van accounts.
De aanvallers gebruikten gecompromitteerde e-mailadressen om de campagne verder te verspreiden en zo het bereik snel te vergroten.
Device code phishing: een nieuwe valstrik uitgelegd
De aanval maakt gebruik van device code phishing, een relatief nieuwe techniek waarbij een crimineel zich voordoet als een simpel apparaat zoals een printer of een tv.
Gebruikers zien een inlogcode die naar verluid nodig is om een document of service te openen en voeren die code in op een ogenschijnlijk legitieme website.
De misleiding lukt omdat de aanvallers official OAuth-functionaliteit inzetten waardoor de inlogpagina ogenschijnlijk valide is.
Het mechanisme achter de compromittering
Wanneer een gebruiker de aangeleverde code invoert via de neppe OAuth-stroom kan de aanvaller via device code authorization langdurige toegang verkrijgen.
Die toegang maakt het mogelijk sessies te behouden en e-mails of contacten te misbruiken voor verdere verspreiding.
In dit incident werden legitiem ogende meldingen en Microsoft Form-links ingezet om vertrouwen te winnen en actie uit te lokken.
De aanvalsketen toont aan dat technologische legitimiteit niet hetzelfde is als veiligheid.
Waarom schoolbesturen extra kwetsbaar zijn
Onderwijsinstellingen hebben vaak veel externe communicatie, gedeelde documenten en een mix van beheerde en persoonlijke apparaten op netwerken.
Dat vergroot de kans dat phishingberichten worden geopend en dat device code flows worden gebruikt voor snel toegang tot gedeelde resources.
Daarnaast kan een gecompromitteerd account direct leiden tot datalekken, frauduleuze orders of verstoring van administratieve processen.
De reikwijdte is breed: van financiële schade tot reputatieschade en extra werkdruk voor ICT-teams.
Snelle detectie en afscherming zijn daarom noodzakelijk.
Directe acties voor beheerders en wat te blokkeren
School-CERT adviseert onder andere om verdachte domeinen direct te blokkeren op firewall, netwerk en endpointniveau.
Voer het volgende beleid uit als prioriteit:
- Blokkeer de domeinen die de neppe loginpagina hosten en de form-link.
- Overweeg het uitschakelen van device code flow via een conditional access policy.
- Monitor op ongebruikelijke sessies en privilege escalatie.
Praktische blokkades en toegangsregels verkleinen de kans op herhaling.
Indicatoren van compromise en herstelstappen per aangetast account
De geconstateerde indicators of compromise zijn onder andere de volgende links en de gebruikte onderwerpregel.
Microsoft Form-link (obfuscated): hxxps://cutt[.]ly/OpenMyFiles
Kwaadaardige inlogpagina (obfuscated): hxxps://9umbgxr57o[.]visionarydocintegration[.]com/l/LOY28f2U69Q
Onderwerpsregel van de phishingmail: Er is een [naam bestuur]-bestand met u gedeeld: “Rapport Samenvatting financiële prognose en uitbetalingsstrategie”
Als een gebruiker heeft geauthenticeerd adviseren wij de volgende herstelstappen:
- Blokkeer het betreffende account onmiddellijk.
- Verwijder in Entra ID alle gekoppelde apparaten van het account.
- Verbreek alle actieve sessies en wijzig het wachtwoord.
- Controleer en herstel wijzigingen binnen het account en laat de gebruiker opnieuw instellen.
Blijf waakzaam en deel relevante waarnemingen
School-CERT houdt de verspreiding van de campagne in de gaten en deelt relevante updates met getroffen partijen.
Als u meer informatie heeft over de gebruikte domeinen, verspreidingspatronen of aanvullende indicators dan is het belangrijk dit direct te melden zodat collega-instellingen snel kunnen reageren.
Voor wie meer achtergrond en technische richtlijnen wil zijn er aanvullende bronnen beschikbaar die praktische mitigatie en herstelprocedures bespreken.
Lees verder via de volgende bronnen: Device code flow waakzaamheid is geboden, Analyses van device code phishing door Proofpoint en Handreiking hulp bij een gecompromitteerd e-mailaccount plus Handreiking phishing.
Handel snel, deel waarnemingen en zorg dat accounts en beleidsregels worden aangepast om verdere schade te voorkomen.