Phishing in Microsoft 365: zo ontstaat een datalek in 8 stappen

Oplossingen

People Centric Workplace

OPLOSSINGEN

People Centric Workplace

Werk vanaf iedere locatie op basis van Microsoft 365.

Microsoft Azure

Breng uw bedrijfsapplicaties naar de Cloud.

Hardware

Bestel zakelijke apparaten in de webshop.

Security

OPLOSSINGEN

Data Protection

Bescherm uw gegevens om verlies te voorkomen.

Device Protection

Bescherm uw apparaten tegen malware en andere dreigingen.

Email Protection

Bescherm tegen aanvallen, zoals phishing, malware en spam.

Identity Protection

Voorkom identiteitsdiefstal en ongeoorloofde toegang.

ADD-ONS

Cyber Security Scan

Krijg inzicht in uw beveiligingsrisico’s en aanvalsoppervlak.

Security Awareness

Creëer cyber-awareness onder uw medewerkers.

Back-up & Recovery

Herstel data binnen uw Microsoft 365 Cloud omgeving.

Collaboration

OPLOSSINGEN

Cloud Based File Sharing

Laat Teams, SharePoint en OneDrive voor u werken.

Copilot for Microsoft 365

Vergroot creativiteit en productiviteit in uw organisatie met AI.

SharePoint Intranet

Zet SharePoint in als krachtig communicatieplatform.

ADD-ONS

Email Signature Management

Beheer e-mailhandtekeningen in uw organisatie centraal.

Viva Engage

Verbind iedereen in de organisatie met elkaar in Viva Engage.

Permission Matrix Report

Houdt grip op wildgroei aan unieke rechten in SharePoint.

Adoption

OPLOSSINGEN

Adoption Program

Digitale transformatie met de eindgebruiker als middelpunt.

Floorwalking

Persoonlijke begeleiding op de werkvloer.

Training

Een zachte landing in uw Microsoft 365 omgeving.

ADD-ONS

Ask me Anything

OfficeGrip Adoptie Consultants beschikbaar via Teams.

Online Academy

Centrale hub voor beleid- en kennisdeling.

Online Onboarding

Geef nieuwe medewerkers een zachte landing.

Communications

OPLOSSINGEN

Microsoft Teams telefonie

Optimale bereikbaarheid met vaste telefonie via Microsoft Teams.

Mobiele telefonie

Mobiele telefonie van Odido met Hello Business.

Vast-mobiel integratie

Integreer uw vaste en mobiele nummer binnen Teams.

ADD-ONS

Data sim

Veilig internetten onderweg op uw tablet of laptop.

Hardware

Communicatie & conferentie producten

Networking

OPLOSSINGEN

Secure Network

Een volledig en beveiligd netwerk op kantoor.

Secure Internet

Veilige glasvezel internetlijn met Firewall.

Fiber Internet Connectivity

Zakelijk glasvezel internet.

TOOLS

Network optimisation

Houdt uw netwerk in vorm.

Wi-Fi site survey

Verbeter het WiFi bereik op kantoor.
Succesverhalen
Over ons
Blog
Contact
Werken bij
Webshop
Support
Prijzen >

Phishing in Microsoft 365

Zo ontstaat een datalek in 8 stappen (en zo breek je de keten)

Achtergrond, Microsoft 365, Security
3 februari 2026

🤖 In het kort

Een phishingmail is vaak het startpunt van een keten: klik → nep-inlog → account takeover in Microsoft 365 → mailboxregels verbergen sporen → data wordt buitgemaakt → aanvaller verspreidt zich intern → impact zoals datalek, fraude en verstoring.

Je breekt de keten het effectiefst met MFA, slimme Conditional Access, security awareness (meldgedrag), goede logging/monitoring en een solide M365 back-up & herstelplan.

Een phishingmail voelt vaak als “gewoon spam”, tot iemand tóch klikt. En precies daar zit het probleem: het echte risico is niet die ene mail, maar de kettingreactie die daarna kan volgen. In Microsoft 365 (M365) hangt alles aan elkaar: e-mail, OneDrive, SharePoint, Teams, en vooral je identiteit (Entra ID). Als een aanvaller één account overneemt, kan dat snel uitgroeien tot toegang tot data, collega’s, klanten en processen.

In deze blog lopen we door de aanvalsketen in 8 stappen: van phishingmail tot datalek. Per stap leggen we uit wat de gebruiker doet, wat de aanvaller wint, en vooral: waar je de keten kunt breken. Aan het einde vind je een praktische checklist en de vijf maatregelen die het verschil maken.

De aanval in 8 stappen: van inbox tot impact

Phishingmail in de inbox

Wat de gebruiker doet: krijgt een mail die lijkt te komen van Microsoft, IT, HR, een leverancier of collega. Vaak met urgentie: “Account geblokkeerd”, “Factuur”, “Document gedeeld”, “MFA reset nodig”.

Wat de aanvaller wint: aandacht. Dit is de “open deur”: de mail is ontworpen om één ding te bereiken — een klik.

Waar je kunt ingrijpen:

Sterke mailfiltering en anti-phishing policies
Duidelijke meldknop (“Report phishing”) en een cultuur waarin melden normaal is
Awareness: herkennen van urgentie-trucs, lookalike domeinen en vreemde verzoeken

De klik

Wat de gebruiker doet: klikt op de link of opent een bijlage. Soms op mobiel, waar je URL’s minder snel checkt.

Wat de aanvaller wint: een gecontroleerd moment. Vanaf nu bepaalt de aanvaller waar de gebruiker terechtkomt: nep-login, kwaadaardige download of doorstuurpagina.

Waar je kunt ingrijpen:

Safe Links / URL-scanning (zodat verdachte links worden herschreven/gecheckt)
Browserbescherming en device compliance (zeker op unmanaged devices)
Training: “Even checken voordat je klikt” als reflex

Nep-inlogpagina (credentials capture)

Wat de gebruiker doet: ziet een loginpagina die lijkt op Microsoft 365 en vult gebruikersnaam + wachtwoord in. Soms wordt ook MFA gevraagd.

Wat de aanvaller wint: credentials — en in moderne aanvallen soms méér dan dat. Denk aan “adversary-in-the-middle” phishing: de aanvaller onderschept de login en kan sessies of tokens misbruiken.

Waar je kunt ingrijpen:

MFA (maar slim: phishing-resistente opties waar mogelijk)
Conditional Access: blokkeren van risicovolle sessies/locaties/devices
Alerting op verdachte login flows of ongebruikelijke client apps

Aanvaller logt écht in op M365

Wat de gebruiker doet: merkt vaak niets. Hooguit: “Het inloggen lukte net niet” of een korte afleiding.

Wat de aanvaller wint: echte toegang tot Microsoft 365 als “jij”. Dit is het kantelpunt: vanaf hier is de aanval niet meer “een phishingmail”, maar een account takeover (ATO).

Waar je kunt ingrijpen:

MFA afdwingen voor alle accounts (zonder uitzonderingen voor “oude” gebruikers)
Conditional Access met:
- device compliance (alleen beheerde devices)
- location-based policy (bijv. blokkeren van landen waar je niet actief bent)
- sign-in risk policies (als je tooling/licenties dat ondersteunen)
Monitoring op “impossible travel”, afwijkende IP’s of nieuwe devices

Mailbox rules: sporen verbergen en meelezen

Wat de gebruiker doet: werkt door zoals altijd.

Wat de aanvaller wint: stealth en controle. Een klassieker: mailboxregels die e-mails verplaatsen, doorsturen of markeren. Bijvoorbeeld: antwoorden van klanten verdwijnen naar een map, of inkomende facturen worden doorgestuurd.

Dit is vaak het moment waarop de aanval verandert van “toegang krijgen” naar “toegang houden”.

Waar je kunt ingrijpen:

Alerts op nieuwe inbox rules/forwarding
Beleid: blokkeren van automatische forwarding naar externe domeinen
Loganalyse: plots veel rule-changes of ongebruikelijke mailbox-activiteiten

Data lezen en exfiltreren

Wat de gebruiker doet: blijft mailen, bestanden delen, Teams gebruiken.

Wat de aanvaller wint: data. Denk aan:

mailbox doorzoeken op keywords (“invoice”, “password”, “contract”, “IBAN”)
bijlagen downloaden
toegang tot SharePoint/OneDrive via dezelfde identiteit
data exporteren naar eigen opslag

Dit is vaak de stap die leidt tot een meldplichtig datalek: persoonsgegevens, klantinformatie, financiële data of IP.

Waar je kunt ingrijpen:

Monitoring op mass downloads, ongebruikelijke search-activiteit, export-gedrag
Data Loss Prevention (DLP) waar passend
Strakke rechtenstructuur: least privilege (niet iedereen overal toegang)

Laterale beweging (verspreiden binnen de organisatie)

Wat de gebruiker doet: collega’s krijgen mails “van jou”, of vragen die nét vreemd genoeg zijn (“Kun je dit snel checken?”).

Wat de aanvaller wint: schaal. Vanuit een vertrouwd intern account is het veel makkelijker om:

collega’s te phishen
toegang tot gedeelde mailboxen of Teams te krijgen
hogere rechten te bemachtigen (bijv. via IT-processen of permissies)

Hier zie je vaak dat één compromis uitgroeit tot meerdere.

Waar je kunt ingrijpen:

Segmentatie in rechten: wie kan bij shared mailboxes, welke teams/sites zijn “open”
Extra bescherming op admin accounts (PIM, separate accounts, strengere CA)
Snelle response: accounts resetten, sessies revoken, rules verwijderen

Impact: datalek, fraude en verstoring

Wat de gebruiker doet: ontdekt het laat. Soms via klachten (“Ik kreeg een vreemde mail”), gemiste mails, of IT die alarm slaat.

Wat de aanvaller wint: opbrengst. Dat kan zijn:

fraude (factuurfraude, wijziging bankrekening)
chantage (data in handen)
reputatieschade (phishing naar klanten/partners)
operationele verstoring (als de aanval verder escaleert)

Dit is het moment waarop de “kosten” ineens zichtbaar worden: tijd, stress, herstelwerk, mogelijk juridische meldingen en reputatieverlies.

De 5 maatregelen die de keten breken

Je hoeft niet “alles perfect” te hebben om enorme winst te boeken. Maar je moet wel de juiste schakels versterken. Dit zijn de vijf die het vaakst het verschil maken:

1. MFA voor alle accounts (zonder uitzonderingen)

MFA maakt gestolen wachtwoorden veel minder bruikbaar. Let wel: MFA is geen magisch schild als je policies zwak zijn of als phishing-sessies misbruikt kunnen worden. Daarom hoort MFA altijd samen met Conditional Access.

Praktisch: zet MFA aan voor álle accounts, inclusief service-achtige accounts waar mogelijk, en leg uitzonderingen vast (met compensating controls).

2. Slimme Conditional Access (CA)

CA is je verkeersregelaar: wie mag waarop inloggen, vanaf welk device, onder welke omstandigheden. Denk aan:

alleen toegang vanaf compliant devices
blokkeren van legacy auth
strengere policies voor admins
blokkeren van verdachte landen of anonieme proxies
session controls (bijv. sign-in frequency)

Praktisch: begin met een “baseline” policyset en bouw door.

3. Security awareness & phishingtraining (met meldgedrag)

Training werkt pas als het niet alleen gaat om “herkennen”, maar ook om wat je moet doen als je twijfelt:

niet klikken
melden
checken via een tweede kanaal
snel escaleren als je wél hebt geklikt

Praktisch: korte herhaling, realistische simulaties, en vooral: beloon meldingen.

4. Logging & monitoring

Je kunt niet stoppen wat je niet ziet. Denk aan signalen zoals:

nieuwe inbox rules
externe forwarding
ongebruikelijke sign-ins
mass downloads of onverwachte access patterns

Praktisch: zorg dat logging aan staat, dat alerts zijn ingericht, en dat iemand weet wat te doen als er een alert afgaat.

5. Back-up & herstel van M365-data

M365 bewaart veel, maar dat is niet hetzelfde als een back-upstrategie die past bij jouw risico’s en hersteldoelen. Back-ups verkorten je hersteltijd en beperken impact na incidenten.

Praktisch: maak herstel concreet: wat is je RPO/RTO, wat moet je kunnen terugzetten, wie is verantwoordelijk?

Snelle checklist: hoe groot is jullie risico?

Gebruik dit als snelle reality check:

Is MFA verplicht voor alle accounts (ook uitzonderingen goedgekeurd en gedocumenteerd)?
Zijn er Conditional Access policies voor unmanaged devices, verdachte locaties en admins?
Is legacy authentication geblokkeerd?
Krijgen jullie alerts op nieuwe mailbox rules en forwarding naar externe adressen?
Kun je snel sign-in logs terugvinden en interpreteren bij een incident?
Is duidelijk wie de eerste respons doet (IT, security, MSP) en wat het stappenplan is?
Zijn SharePoint/OneDrive rechten ingericht volgens least privilege?
Kun je data snel herstellen (mailboxen, OneDrive, SharePoint, Teams) na een incident?
Is phishingtraining structureel (niet één keer per jaar)?
Worden verdachte mails actief gemeld en opgevolgd?

Hoe meer “nee” je hebt, hoe groter de kans dat stap 1 ooit doorloopt tot stap 8.

Van “bewustzijn” naar beheersing

Phishing is niet weg te trainen. Maar de impact is wél te beheersen, als je de keten snapt. De kracht van dit model is dat je niet hoeft te gokken waar je moet beginnen. Je ziet precies: waar komt het binnen, waar wordt het gevaarlijk, waar schaalt het op, en waar wordt het business-impact.

De meeste organisaties winnen al enorm met: MFA + Conditional Access + goede monitoring + training + back-up. Niet omdat het “mooi” klinkt, maar omdat het precies de schakels zijn die aanvallers nodig hebben om van een klik een datalek te maken.

Meer informatie over het Zero Trust model?

Download dan gratis ons eBook met meer informatie

Wil je weten hoe deze 5 maatregelen er bij jullie voor staan?

Avista denkt graag
met u mee.

ADRES

Blauwhekken 5b
4751 XD Oud Gastel

CONTACT

CUSTOMER CARE

LINKS

OPLOSSINGEN

People Centric Workplace

Microsoft Azure

Hardware

OPLOSSINGEN

Data Protection

Device Protection

Email Protection

Identity Protection

ADD-ONS

Cyber Security Scan

Security Awareness

Back-up & Recovery

OPLOSSINGEN

Cloud Based File Sharing

Copilot for Microsoft 365

SharePoint Intranet

ADD-ONS

Email Signature Management

Viva Engage

Permission Matrix Report

OPLOSSINGEN

Adoption Program

Floorwalking

Training

ADD-ONS

Ask me Anything

Online Academy

Online Onboarding

OPLOSSINGEN

Microsoft Teams telefonie

Mobiele telefonie

Vast-mobiel integratie

ADD-ONS

Data sim

Hardware

OPLOSSINGEN

Secure Network

Secure Internet

Fiber Internet Connectivity

TOOLS

Network optimisation

Wi-Fi site survey