Microsoft rapporteerde tussen 14 en 16 april 2026 een phishing-campagne gericht op meer dan 35.000 gebruikers in 13.000 bedrijven, voornamelijk in de Verenigde Staten. Deze campagne had gevolgen voor organisaties in 26 landen, waarbij 92% van de e-mails werd verzonden naar entiteiten in de VS.
De sectoren gezondheidszorg en biowetenschappen werden het zwaarst getroffen, goed voor 19% van de slachtoffers. Andere getroffen sectoren waren onder meer de financiële dienstverlening met 18%, de professionele dienstverlening met 11%, en technologie en software, eveneens met 11%.
Volgens het advies van Microsoft maakten de phishing-e-mails gebruik van gepolijste, zakelijke HTML-sjablonen met urgente actieaanwijzingen. Deze ontwerpen waren bedoeld om een gevoel van authenticiteit en urgentie te creëren, waardoor de e-mails geloofwaardig overkwamen als legitieme interne communicatie.
De aanvallers deden zich voor als verschillende identiteiten, waaronder ‘Internal Regulatory COC’, ‘Workforce Communications’ en ‘Team Conduct Report’. In de e-mails werd beweerd dat ze via een ‘geautoriseerd intern kanaal’ waren verzonden, waarin stond dat links en bijlagen ‘werden beoordeeld en goedgekeurd voor veilige toegang’.
De campagne maakte gebruik van tactieken om traditionele e-mailbeveiligingsmaatregelen zoals SPF, DKIM en DMARC te omzeilen door e-mails van legitieme services te verzenden. Slachtoffers werden via kwaadaardige pdf-bijlagen geleid, wat naar schadelijke landingspagina’s leidde.
Het proces omvatte meerdere CAPTCHA-omleidingen die bedoeld waren om een vals gevoel van legitimiteit te genereren en om geautomatiseerde verdedigingen uit te filteren. Het uiteindelijke doel was om in realtime Microsoft-referenties en tokens te verzamelen, waardoor multi-factor authenticatie (MFA) effectief werd omzeild.
