Nieuwe e‑mailaanvallen omzeilen securityfilters met QR-codes, Teams en onzichtbare tekens

De afgelopen maand hebben onder­zoe­kers van Barracuda verschil­lende opmer­ke­lijke e‑maildreigingen onder­zocht die zich richten op orga­ni­sa­ties en hun mede­wer­kers. Het gaat onder andere om:

• ‘Tycoon’ phishing waarbij QR-codes worden opgebouwd uit HTML-tabellen
• Callback-phishing via Microsoft Teams
• Facebook waar­schu­wingen over auteurs­recht, met mislei­dende pop-up vensters
• Scha­de­lijke links die detectie omzeilen door het weten­schap­pe­lijke teken ∕ in plaats van de standaard slash (/)

‘Tycoon’ phishing kit gebruikt QR codes opgebouwd uit HTML tabellen

De ‘Tycoon’ phishing kit maakt gebruik van een techniek waarbij volledig scanbare QR-codes worden opgebouwd uit HTML tabel­cellen. Hierdoor kunnen scha­de­lijke QR-codes tradi­ti­o­nele e‑mailsecurity omzeilen.

De aanval start met een phis­hing­mail met vaak alleen een korte instructie om de QR-code te scannen met een mobiel device. In plaats van een normale QR-code afbeel­ding, die door veel secu­ri­ty­op­los­singen wordt herkend, is de QR-code hier opgebouwd uit kleine HTML-tabel­cellen. Samen vormen deze cellen een complete QR-code. Wanneer een gebruiker deze QR-code scant, wordt hij of zij door­ge­stuurd naar een phis­hing­pa­gina die is opgezet via het Tycoon PhaaS (phishing as a service) ‑platform. Omdat er geen afbeel­dings­be­stand is, geen zichtbare link en geen geco­deerde afbeel­ding die scanners kunnen analy­seren, herkennen veel auto­ma­ti­sche secu­ri­ty­tools dit niet als verdacht. Daardoor kan de QR-code langs filters glippen die normaal gesproken een scha­de­lijke QR-code zouden blokkeren.

Callback-phishing via misbruik van Microsoft Teams

Bij deze phis­hing­cam­pagne maken aanval­lers misbruik van het vertrouwen in Microsoft Teams om slacht­of­fers te verleiden tot het bellen van frau­du­leuze support­num­mers. Via die tele­foon­ge­sprekken kunnen inlog­ge­ge­vens, betaal­ge­ge­vens en andere gevoelige infor­matie worden buitgemaakt.

De aanval­lers voegen doel­witten toe aan Teams groepen met namen die urgentie uitstralen. Vervol­gens tonen ze content die lijkt op facturen, meldingen over auto­ma­ti­sche verlen­ging of waar­schu­wingen over onge­au­to­ri­seerde kosten. In het bericht staat dat de ontvanger alleen maar een van de genoemde tele­foon­num­mers hoeft te bellen om betaling te voorkomen. Deze nummers worden beheerd door de aanvallers.

Doordat een vertrouwd platform wordt misbruikt en er wordt gespeeld met emotie en tijdsdruk, neemt de kans toe dat iemand meegaat in het verhaal. Omdat het vooral om mislei­ding en social engi­nee­ring gaat, kunnen deze aanvallen bovendien langs klassieke e‑mailfilters en tech­ni­sche blokkades komen.

Facebook phishing via nep browservensters

Bij deze campagne ontvangen slacht­of­fers e‑mails waarin ze worden gewaar­schuwd dat zij auteurs­rechten zouden schenden op Facebook. De opzet is over­tui­gend omdat de berichten zijn vorm­ge­geven alsof het gaat om legitieme juri­di­sche waar­schu­wingen van Facebook. In de e‑mail staat een link naar zogenaamd details over de inbreuk. Die link leidt naar een phishingformulier.

Om de details te bekijken moet de ontvanger inloggen op Facebook. Het formulier verschijnt in wat lijkt op een normaal brow­ser­ven­ster, maar het is in werke­lijk­heid een nage­maakte statische webpagina. Alles wat de gebruiker daar invult, wordt door de aanval­lers onderschept.

Schadelijke links die detectie omzeilen met het wetenschappelijke ∕-teken

Oner­zoe­kers van Barracuda zien dat aanval­lers de ‘division slash’ (∕) gebruiken in plaats van de gebrui­ke­lijke ‘forward slash’ /​. Het verschil is nauwe­lijks zichtbaar voor het menselijk oog, maar kan ervoor zorgen dat tradi­ti­o­nele secu­ri­ty­fil­ters en auto­ma­ti­sche detectie een link niet goed analyseren.

Door deze subtiele teken­ver­van­ging kunnen links langs filters komen. Slacht­of­fers die erop klikken, worden vervol­gens door­ge­stuurd naar onver­wachte of wille­keu­rige pagina’s, of naar een omgeving die onderdeel is van een bredere aanvalsketen.

Meer informatie en tips

Uitge­breide infor­matie, inclusief tips voor orga­ni­sa­ties en gebrui­kers om zich tegen deze vormen van e‑mail cyber­crime te verde­digen, is hier te vinden: https://​blog​.barracuda​.com/​2​0​2​6​/​0​1​/​2​2​/​e​m​a​i​l​-​t​h​r​e​a​t​-​r​a​d​a​r​-​j​a​n​u​a​r​y​-​2026