Uit nieuwe bevindingen van Barracuda Research blijkt hoe snel moderne e‑mailaanvallen kunnen escaleren tot serieuze securityincidenten. In een gecontroleerde Red Team-simulatie leidde één enkele phishing-e-mail binnen vijf minuten tot identiteitsdiefstal, het omzeilen van MFA, persistentie en een inbreuk op het endpoint. Het onderzoek valt samen met de lancering van Barracuda’s AI-gestuurde Integrated Email Protection, een geavanceerde oplossing die zeer effectieve bescherming biedt tegen steeds veranderende, AI-gestuurde dreigingen.
“Aanvallers maken gebruik van algemeen beschikbare AI-tools en ontwijkingstechnieken om traditionele verdedigingsmechanismen te omzeilen en aanvallen uit te breiden”, zegt Merium Khalid, Director, AI and Automation, Office of the CTO bij Barracuda. “De snelheid waarmee het Red Team tot persistentie en compromittering wist te komen, onderstreept de dringende behoefte aan continue, realtime, geautomatiseerde e‑mailsecurity die dreigingen kan opsporen die buiten de inbox actief worden.”
De aanvalssimulatie
- Het Red Team maakte gebruikt van generatieve AI om een overtuigende phishing-e-mail te maken met een dringend verzoek om een document.
- De e‑mail werd met succes afgeleverd bij de ontvanger, die deze 21 minuten later opende. De ontvanger klikte vervolgens op de ingesloten link en werd zo naar een vervalste Microsoft-inlogpagina geleid.
- Binnen 60 seconden had de gebruiker zijn inloggegevens ingevoerd. De aanvallers hadden het legitieme inlogproces omgeleid, zodat ze de gegevens die tussen het slachtoffer en Microsoft werden uitgewisseld, konden onderscheppen en vastleggen.
- Microsoft reageerde met een MFA-verzoek. Het kostte het slachtoffer nog een minuut om de vereiste gegevens in te voeren en een authenticatiecookie te ontvangen, die de aanvallers eveneens wisten te onderscheppen.
- Kortom, binnen twee minuten nadat het slachtoffer op de phishinglink had geklikt, hadden de aanvallers zijn gebruikersnaam en wachtwoord, de cookie en de sessiegegevens onderschept. Maar ze waren nog niet klaar.
- De aanvallers konden de gestolen sessiecookie gebruiken om toegang te krijgen tot de mailbox van het slachtoffer. Ze konden dan e‑mails lezen en namens het slachtoffer versturen, toegang krijgen tot SharePoint en OneDrive, inboxregels aanmaken om hun activiteiten te verbergen en toestemming verlenen aan schadelijke OAuth-apps om ook na het verlopen van de sessie toegang te behouden.
- De ClickFix-zwendel: de aanvallers vragen het slachtoffer om een extra verificatiestap te doorlopen. Het slachtoffer plakt een verificatiecode in het clipboard, waardoor een schadelijk script wordt geactiveerd dat wordt gebruikt om blijvend toegang te verkrijgen.
- Binnen vijf minuten na de eerste klik hebben de aanvallers blijvende toegang verkregen, waardoor ze kunnen terugkeren, hun toegang kunnen uitbreiden en aanvullende payloads kunnen inzetten.
- Vanaf dit punt kan de aanval snel escaleren als deze wordt voortgezet, tot het uitbreiden van toegangsrechten en het stelen, versleutelen of vernietigen van gegevens. Dit alles dankzij het succes van de eerste phishing-e-mail waarmee toegang werd verkregen.
Hoe kunnen organisaties zich beschermen?
Geen enkele afzonderlijke securitymaatregel kan moderne, AI-gestuurde e‑mailaanvallen tegenhouden die in meerdere fasen worden uitgevoerd. Organisaties hebben gelaagde, continue bescherming nodig gedurende de volledige levenscyclus van een aanval.
Belangrijke verdedigingsmaatregelen zijn onder meer:
- Phishingbestendige MFA (bijv. security keys).
- Geavanceerde e‑mailsecurity met realtime detectie.
- Sterke e‑mailauthenticatie (zoals DMARC).
- Trainingen voor gebruikers over steeds veranderende social-engineeringtactieken.
- Het beperken van de toegang tot risicovolle tools die aanvallers misbruiken.
Securityteams moeten ook letten op afwijkende inlogactiviteiten voor wat betreft locatie, device of tijdstip, verdacht gedrag na het inloggen en tekenen van persistentie, zoals nieuwe regels in de inbox of geplande taken.
Meer informatie, inclusief volledige technische details en een stapsgewijze uitleg, is hier te lezen: https://blog.barracuda.com/2026/06/17/red-team-report-ai-powered-email-attacks
