Outlook phishing — awareness + tegenmaatregelen
Het probleem: Outlook is voor de meeste Nederlandse organisaties dé phishing-binnenkomst. Outlook 365 blokkeert standaard veel risky-attachments — maar er zijn talloze paden waarlangs phishing-content toch het inbox-niveau bereikt, en clickable URLs in HTML-mails passeren altijd. Hieronder per Outlook-versie wat wel en niet wordt geblokkeerd.
Attachment-blocking per Outlook-versie
| Bestandstype | Outlook 365 (cloud) | Outlook on-prem (Exchange 2019) | Outlook mobiel |
|---|---|---|---|
.exe / .msi / .bat / .cmd / .ps1 | geblokkeerd | geblokkeerd (default) | geblokkeerd |
.lnk | geblokkeerd (sinds 2024) | configureerbaar — vaak open | geblokkeerd |
.iso / .img | geblokkeerd (sinds 2023) | vaak open | geblokkeerd |
.html attachment | doorgang | doorgang | doorgang |
.docm / .xlsm / .pptm (macro) | doorgang; macro's geblokkeerd at-runtime (2022+) | idem | idem |
.zip (zonder password) | scan; inhoud-block-rules werken | idem | idem |
.zip (password-protected) | doorgang — scanner kan niet uitpakken | doorgang | doorgang |
.rar / .7z (password) | doorgang | doorgang | doorgang |
.one OneNote | embedded-block sinds 2023 | idem | idem |
.svg | doorgang | doorgang | doorgang |
.hta | geblokkeerd | geblokkeerd | geblokkeerd |
.ics calendar-invite | doorgang | doorgang | doorgang |
Clickable URLs — Outlook protocol-handling
Outlook rendert HTML-emails. Een <a href="..."> opent bij click de bijbehorende protocol-handler op Windows. Outlook waarschuwt voor bekende-risky schemes (`file:`, `\\server\share`), maar veel Windows-handlers passeren zonder waarschuwing.
| URL-scheme | Outlook gedrag | Windows-effect |
|---|---|---|
https:// | opent default browser | browser-context |
http:// | opent default browser | browser-context |
mailto: | opent nieuwe mail | geen risico |
file:// of \\server\share | waarschuwing | WebDAV-mount mogelijk |
search-ms: | geen waarschuwing | Windows Search met externe SMB-share inhoud |
ms-settings: | geen waarschuwing | opent Win-Settings panel |
ms-word: / ms-excel: | geen waarschuwing | opent Office — kan SMB-auth triggeren bij external path |
ms-officecmd: | geen waarschuwing | Office command-handler |
wt: Windows Terminal | geen waarschuwing | opent Terminal |
onenote: | geen waarschuwing | opent OneNote |
ms-msdt: | geblokkeerd in Win11 22H2+ | was Follina CVE — gepatched |
Bekende phishing-trends 2024-2026
| Trend | Hoe het werkt | Detectie/mitigatie |
|---|---|---|
| Password-protected ZIP met .lnk | Email-scanner kan ZIP niet uitpakken zonder pw → passeert; wachtwoord in 2e mail of in body; user extract → dubbelklik → PowerShell | Email-gateway: block ALL password-protected archives; awareness: nooit "twee-staps wachtwoord"-flow accepteren voor onbekende bron |
| HTML-attachment met embedded JS | .html bypasses meeste email-scanners (geen executable); opent in browser → fake-login of redirect | Email-gateway: block .html attachments; user awareness "HTML bijlage = verdacht" |
| QR-code phishing (quishing) | QR in mail-body verwijst naar phishing-URL; user scant met telefoon → telefoon zit niet onder corporate filter | Email-gateway: OCR scan op QR + URL-resolve; MAM op telefoon |
| OAuth consent-phishing | Link naar legitieme Microsoft login-pagina met "give app permission" — geen wachtwoord nodig, attacker krijgt token | Conditional Access; admin-consent-required voor onbekende apps; Defender for Cloud Apps OAuth-app-governance |
| MFA-fatigue (push-bombing) | Aanvaller heeft wachtwoord, spamt MFA-push-notifications; user accepteert ooit per ongeluk | Number-matching MFA (Microsoft Authenticator); FIDO2 passkey ipv push |
| EvilProxy / Adversary-in-the-Middle | Phishing-site is reverse-proxy naar echte login-pagina → MFA werkt, attacker krijgt session-token | FIDO2 passkey met origin-binding; Token Protection (preview); Conditional Access risk-signaling |
| BEC met deepfake-voice / Teams | "CEO belt en vraagt um overboeking" — voice-clone op basis van 30s LinkedIn-recording | Procesmatige callback-verificatie naar bekend nummer; out-of-band confirmatie |
| SharePoint/OneDrive-internal-phishing | Mail komt van échte M365-tenant (overgenomen via OAuth-consent), naar collega's binnen of buiten organisatie | Defender for Office 365 anomaly-detection; Conditional Access op admin-rollen |
Tegenmaatregelen per laag
| Laag | Maatregelen |
|---|---|
| Email-gateway (Defender for Office 365 / Proofpoint) | Block password-protected archives; block .html attachments; OCR-scan QR; Safe Links + Safe Attachments; impersonation-protection voor VIP-accounts |
| Outlook-client (MDM) | Disable "Edit before send"-tampering; block protocol-handlers via Outlook-policies; show-real-from-address (vs display-name) |
| Windows (GPO/MDM) | URLBlocklist voor risky schemes (search-ms, wt, ms-officecmd); UAC AlwaysNotify; AppLocker block mshta.exe + wscript.exe |
| Identity (Entra ID) | Conditional Access policies; phishing-resistant MFA (FIDO2 passkey); risk-based sign-in; user-impersonation-protection |
| Awareness | Maandelijkse phishing-simulaties (zie PHISHING_SIMULATIONS.md); just-in-time training na klik; reporting-button in Outlook ("Report Phishing") |
| SOC/Detection | SIEM-alert op suspicious Outlook child-processes (powershell/cmd from outlook.exe); on-call user-context recon-burst patterns; Defender for Endpoint integration |
Wat Outlook-users moeten weten
- Hover voor je klikt. Elke URL toont preview onderaan; lees of het echt is.
- Bestandsformaat ≠ verwacht? Een factuur is PDF/Word, geen .iso/.hta/.lnk.
- Password-protected ZIP? Stop. Vraag verzender out-of-band (bel/Teams) of dat klopt.
- Microsoft 365 vraagt nóóit "log opnieuw in" via mail-link. Open direct portal.office.com.
- HR/IT/Servicedesk geeft geen clickable commando's. Updates komen via Intune/SCCM.
- MFA-prompt zonder dat je iets deed? Direct deny + meld bij IT — wachtwoord wordt waarschijnlijk misbruikt.
- Druk + tijd = phishing-signaal. "Voor 17:00 vandaag" of "uw account wordt vergrendeld" is psychologische druk.
- "Report Phishing"-knop bestaat. Gebruik 'm bij twijfel — IT/SOC krijgt het signaal en kan andere ontvangers waarschuwen.