De afgelopen maand hebben onderzoekers van Barracuda verschillende opmerkelijke e-maildreigingen onderzocht die zich richten op organisaties en hun medewerkers. Het gaat onder andere om:
- ‘Tycoon’ phishing waarbij QR-codes worden opgebouwd uit HTML-tabellen
- Callback-phishing via Microsoft Teams
- Facebook waarschuwingen over auteursrecht, met misleidende pop-up vensters
- Schadelijke links die detectie omzeilen door het wetenschappelijke teken ∕ in plaats van de standaard slash (/)
‘Tycoon’ phishing kit gebruikt QR codes opgebouwd uit HTML tabellen
De ‘Tycoon’ phishing kit maakt gebruik van een techniek waarbij volledig scanbare QR-codes worden opgebouwd uit HTML tabelcellen. Hierdoor kunnen schadelijke QR-codes traditionele e-mailsecurity omzeilen.
De aanval start met een phishingmail met vaak alleen een korte instructie om de QR-code te scannen met een mobiel device. In plaats van een normale QR-code afbeelding, die door veel securityoplossingen wordt herkend, is de QR-code hier opgebouwd uit kleine HTML-tabelcellen. Samen vormen deze cellen een complete QR-code. Wanneer een gebruiker deze QR-code scant, wordt hij of zij doorgestuurd naar een phishingpagina die is opgezet via het Tycoon PhaaS (phishing as a service) -platform. Omdat er geen afbeeldingsbestand is, geen zichtbare link en geen gecodeerde afbeelding die scanners kunnen analyseren, herkennen veel automatische securitytools dit niet als verdacht. Daardoor kan de QR-code langs filters glippen die normaal gesproken een schadelijke QR-code zouden blokkeren.
Callback-phishing via misbruik van Microsoft Teams
Bij deze phishingcampagne maken aanvallers misbruik van het vertrouwen in Microsoft Teams om slachtoffers te verleiden tot het bellen van frauduleuze supportnummers. Via die telefoongesprekken kunnen inloggegevens, betaalgegevens en andere gevoelige informatie worden buitgemaakt.
De aanvallers voegen doelwitten toe aan Teams groepen met namen die urgentie uitstralen. Vervolgens tonen ze content die lijkt op facturen, meldingen over automatische verlenging of waarschuwingen over ongeautoriseerde kosten. In het bericht staat dat de ontvanger alleen maar een van de genoemde telefoonnummers hoeft te bellen om betaling te voorkomen. Deze nummers worden beheerd door de aanvallers.
Doordat een vertrouwd platform wordt misbruikt en er wordt gespeeld met emotie en tijdsdruk, neemt de kans toe dat iemand meegaat in het verhaal. Omdat het vooral om misleiding en social engineering gaat, kunnen deze aanvallen bovendien langs klassieke e-mailfilters en technische blokkades komen.
Facebook phishing via nep browservensters
Bij deze campagne ontvangen slachtoffers e-mails waarin ze worden gewaarschuwd dat zij auteursrechten zouden schenden op Facebook. De opzet is overtuigend omdat de berichten zijn vormgegeven alsof het gaat om legitieme juridische waarschuwingen van Facebook. In de e-mail staat een link naar zogenaamd details over de inbreuk. Die link leidt naar een phishingformulier.
Om de details te bekijken moet de ontvanger inloggen op Facebook. Het formulier verschijnt in wat lijkt op een normaal browservenster, maar het is in werkelijkheid een nagemaakte statische webpagina. Alles wat de gebruiker daar invult, wordt door de aanvallers onderschept.
Schadelijke links die detectie omzeilen met het wetenschappelijke ∕-teken
Onerzoekers van Barracuda zien dat aanvallers de ‘division slash’ (∕) gebruiken in plaats van de gebruikelijke ‘forward slash’ /. Het verschil is nauwelijks zichtbaar voor het menselijk oog, maar kan ervoor zorgen dat traditionele securityfilters en automatische detectie een link niet goed analyseren.
Door deze subtiele tekenvervanging kunnen links langs filters komen. Slachtoffers die erop klikken, worden vervolgens doorgestuurd naar onverwachte of willekeurige pagina’s, of naar een omgeving die onderdeel is van een bredere aanvalsketen.
Meer informatie en tips
Uitgebreide informatie, inclusief tips voor organisaties en gebruikers om zich tegen deze vormen van e-mail cybercrime te verdedigen, is hier te vinden: https://blog.barracuda.com/2026/01/22/email-threat-radar-january-2026
