• Legitiem misbruik van infrastructuur: de phishingtechniek die e-mailverificatie omzeilt

Legitiem misbruik van infrastructuur: de phishingtechniek die e-mailverificatie omzeilt

door

Laatst bijgewerkt:
8 leestijd: 8 minuten
Legitiem misbruik van infrastructuur: de phishingtechniek die e-mailverificatie omzeilt

Belangrijkste Conclusies

  • Legitiem misbruik van infrastructuur is een phishingtechniek waarbij aanvallers kwaadaardige e-mails via betrouwbare cloudplatforms voor e-mailverzending doorsturen om zo de onberispelijke reputatie van de afzender over te nemen.
  • Omdat de gebruikte infrastructuur technisch gezien legitiem is, doorstaan deze geavanceerde phishingcampagnes de SPF-, DKIM- en DMARC-controles steevast zonder problemen.
  • Traditionele beveiligde e-mailgateways zien deze bedreigingen over het hoofd, omdat ze de IP-adressen van grote clouddiensten niet kunnen blokkeren zonder dat dit leidt tot rampzalig hoge percentages valse positieven bij legitiem verkeer.
  • Cybercriminelen stimuleren dit soort aanvallen door gestolen API-sleutels voor cloudplatforms op cybercriminaliteitsforums te kopen voor slechts $15.
  • Hoewel de handhaving van DMARC deze aanvallen niet direct blokkeert, fungeert continue DMARC-monitoring als een vroegtijdig waarschuwingssysteem door onverwachte afwijkingen in het uitgaande e-mailverkeer te signaleren.

Stel je het volgende voor: een phishing-e-mail belandt rechtstreeks in de inbox van een bedrijf. De beveiligingsgateway scant de e-mail en geeft deze een uitstekende beoordeling. Sender Policy Framework (SPF): goedgekeurd. DomainKeys Identified Mail (DKIM): goedgekeurd. Domain-based Message Authentication, Reporting, and Conformance (DMARC): goedgekeurd. De e-mail is uiterst schadelijk, maar is toch moeiteloos door elke verdedigingslaag heen geglipt. Waarom? Omdat hij is verzonden via een gerenommeerde cloudinfrastructuur die uw e-mailbeveiligingstools al blindelings vertrouwen.

Deze strategie staat bekend als infrastructuurmisbruik, of ‘living off the land’ in de context van e-mailphishing. In plaats van onbetrouwbare, kortstondige domeinen op te zetten, leiden aanvallers hun campagnes via gevestigde, gerenommeerde cloudplatforms voor het versturen van e-mail.

Het is een enorme trend. Het Cloudflare 2026 Threat Report wijst erop dat e-mailplatforms in de cloud op grote schaal worden misbruikt als vectoren voor geavanceerde phishing en de verspreiding van malware, en merkt op dat actoren van nationale overheden deze techniek actief in hun strategieën integreren. Beveiligingsonderzoekers bij Kaspersky hebben bovendien vanaf januari 2026 een aanhoudende, sterke stijging waargenomen in het aantal phishing-aanvallen dat via grote cloudinfrastructuren wordt verstuurd.

Wat is legitiem misbruik van infrastructuur?

Misbruik van legitieme infrastructuur is de praktijk waarbij phishingcampagnes worden gerouteerd via gevestigde, gerenommeerde cloudplatforms voor e-mailverzending, in plaats van via infrastructuur die speciaal door aanvallers is opgezet. In de wereld van endpointbeveiliging betekent ‘living off the land’ dat hackers inbouwtools van het systeem, zoals PowerShell, gebruiken om aanvallen uit te voeren in plaats van opvallende malware te installeren. Dit maakt detectie ongelooflijk moeilijk, omdat de tool zelf thuishoort in dat systeem. Bij misbruik van legitieme infrastructuur wordt precies dezelfde logica toegepast op e-mailverzending.

In plaats van een domein met een typefout te kopen of een speciale kwaadaardige e-mailserver op te zetten, breken oplichters in op bestaande cloudplatforms voor transactionele e-mail of huren ze daar ruimte. Platforms als Amazon SES, SendGrid en Mailjet zijn vaak het doelwit, niet omdat hun interne beveiliging zwak is, maar omdat hun onberispelijke reputatie als afzender het ultieme troefkaart is voor een aanvaller.

Cybercriminelen verschaffen zich doorgaans op twee manieren toegang:

  • Diefstal van inloggegevens en API-sleutels: Aanvallers stelen of kopen legitieme API-sleutels en inloggegevens voor bestaande cloud-e-mailaccounts. Volgens Abnormal AI worden deze regelmatig verhandeld op cybercriminaliteitsforums voor slechts $15.
  • Gecompromitteerde verzenddomeinen: Aanvallers compromitteren een bestaand bedrijfsdomein waarvoor al een cloud-e-mailserviceprovider (ESP) is geconfigureerd als geautoriseerde afzender, die direct profiteert van de reputatie die in de loop van jaren is opgebouwd.

Wat-is-legitiem-misbruik-van-infrastructuur-

Waarom e-mailverificatie dit niet voorkomt

De authenticatiekloof

Protocollen zoals SPF, DKIM en DMARC zijn ontwikkeld om één fundamentele vraag te beantwoorden: is deze e-mail afkomstig van een geautoriseerde afzender voor dit domein? Wanneer een aanvaller een legitiem cloudaccount kaapt of misbruik maakt van de geautoriseerde ESP-configuratie van een domein, is het technische antwoord een volmondig ja.

De e-mail voldoet aan de SPF-controle omdat het IP-adres van de cloudprovider expliciet is opgenomen in het SPF-record van het domein. De e-mail voldoet ook aan de DKIM-controle omdat het platform het bericht ondertekent met de juiste cryptografische sleutel van het domein. Ten slotte voldoet de e-mail aan de DMARC-controle omdat beide protocollen perfect op elkaar zijn afgestemd.

Dit is geen bug of tekortkoming in DMARC. De protocollen doen precies wat ze moeten doen. Het probleem is dat het controleren of een afzender geautoriseerd is, iets heel anders is dan controleren of het account nog steeds onder controle staat van de daadwerkelijke domeineigenaar.

Waarom het blokkeren op basis van IP-reputatie niet werkt

Traditionele beveiligingstools zijn sterk afhankelijk van IP-reputatiescores. Als een IP-adres spam verstuurt, wordt het geblokkeerd. Maar bij misbruik van infrastructuur faalt deze aanpak volledig.

De verzendende IP-adressen behoren toe aan grote cloudproviders die dagelijks miljarden legitieme zakelijke e-mails verwerken. Als een Secure Email Gateway (SEG) deze IP-reeksen zou blokkeren om een phishingcampagne te stoppen, zou dit leiden tot catastrofale percentages valse positieven en zouden belangrijke zakelijke e-mails bij duizenden bedrijven die hier niets mee te maken hebben, worden geblokkeerd. De aanvaller verschuilt zich in een enorme, betrouwbare menigte.

Waarom beveiligde e-mailgateways de plank misslaan

De meeste SEG’s beoordelen inkomende e-mail op basis van de leeftijd van het domein, bekende schadelijke links en handtekeningen in bijlagen. Bij deze aanvallen is het verzendende domein onschadelijk, is de reputatie onberispelijk en bedraagt de authenticatiescore 100%.

Bovendien maken aanvallers linkscanners onschadelijk door gebruik te maken van ‘open redirect’-phishingtechnieken die in de ESP’s zelf zijn ingebouwd. Ze maken gebruik van de standaard URL’s voor kliktracking van het platform, die door e-mailgateways altijd op de witte lijst staan. De gateway scant de zeer betrouwbare trackinglink en laat het bericht door; de kwaadaardige bestemming wordt pas geactiveerd via een omleiding op het exacte moment dat de gebruiker op de link klikt.

In andere varianten omzeilen oplichters de URL-controle volledig door Business Email Compromise (BEC)-lokberichten zonder link te versturen. Ze voegen onverdachte PDF-bestanden toe met vaste betalingsgegevens of voegen vervalste e-mailconversaties over wijzigingen in facturen in, en maken gebruik van social engineering verpakt in een geauthenticeerde e-mail.

Hoe legitiem misbruik van infrastructuur er in de praktijk uitziet

In de praktijk maken deze campagnes gebruik van zeer dringende lokmiddelen die een groot vertrouwen wekken. Veelgebruikte tactieken zijn onder meer valse meldingen over elektronische handtekeningen waarbij platforms zoals DocuSign worden nagebootst, dringende beveiligingswaarschuwingen voor accounts en factuurfraude gericht op boekhoudafdelingen.

De drijfveer achter deze aanvallen is rechtstreeks te wijten aan slecht beheer van inloggegevens. Hackers verzamelen stelselmatig API-sleutels uit blootgestelde AWS Identity and Access Management (IAM)-configuraties in openbare GitHub-repositories of uit per ongeluk opgeslagen .env-bestanden.

Als alles op zijn plaats valt, zijn de resultaten verbluffend. Een incident uit de praktijk, dat in april 2026 door IRONSCALES werd gedocumenteerd, bracht een phishing-e-mail aan het licht die een perfecte Microsoft Composite Authentication-score van 100 op 100 behaalde. De e-mail deed zich voor als een veelgebruikte projectmanagementtool en doorstond de SPF-, DKIM- en DMARC-controles feilloos, omdat deze werd verzonden via de legitieme cloud-ESP-configuratie van een gehackt domein.

Inkomend bericht: authenticatieresultaten

Authenticatiecontrole / MetriekStatus / ScoreUitslag Oordeel
SPF (Sender Policy Framework)PASSGoedgekeurd
DKIM (DomainKeys Identified Mail)PASSGoedgekeurd
DMARC (Domain-based Message Authentication)PASSGecertificeerd en erkend
Microsoft Composite-authenticatiescore100 / 100Perfecte vertrouwensscore

Belangrijkste bevinding: Geverifieerd, maar niet legitiem. (Gebaseerd op een incident gedocumenteerd door IRONSCALES, april 2026).

Wat echt helpt: een realistische verdediging

Om het maar eens heel duidelijk te zeggen: er is geen enkel hulpmiddel dat deze categorie aanvallen volledig kan tegenhouden. Wie beweert dat DMARC op zichzelf automatisch misbruik van infrastructuur kan blokkeren, belooft te veel. Een gelaagde, realistische aanpak vermindert het risico echter aanzienlijk.

1. DMARC-monitoring: uw systeem voor vroegtijdige waarschuwing

Hoewel een geauthenticeerde phishing-e-mail de validatie zal doorstaan, bieden de geaggregeerde DMARC-rapporten (RUA) volledig inzicht in uw uitgaande ecosysteem. Als een cybercrimineel uw API-sleutels steelt en spam via een cloudplatform gaat versturen onder gebruikmaking van uw domein, zal die enorme piek in het volume onmiddellijk zichtbaar zijn in uw rapporten.

Door DMARC-rapporten (RUA) regelmatig te controleren, kunt u ongeoorloofd gebruik van uw infrastructuur in een vroeg stadium opsporen, nog voordat er grootschalige reputatieschade ontstaat. Voor teams die op zoek zijn naar geautomatiseerde detectie biedt de PowerDMARC DMARC Analyzer continue monitoring en realtime waarschuwingen bij afwijkingen, zodat onverwachte verzendbronnen direct worden gesignaleerd zodra ze opduiken.

2. DMARC-handhaving: bescherm het uitgaande e-mailverkeer van uw domein

Door uw DMARC-beleid in te stellen op p=reject zorgt u ervoor dat berichten direct worden geblokkeerd als een aanvaller probeert uw domein te vervalsen via ongeautoriseerde kanalen buiten uw goedgekeurde cloudinfrastructuur om. Bovendien maakt een strenge handhaving uw domein tot een veel moeilijker doelwit. Oplichters die op zoek zijn naar gemakkelijke manieren om infrastructuur te misbruiken, geven de voorkeur aan gemakkelijkere doelwitten die een zwak p=none-beleid hanteren.

3. Beveiliging van ESP-inloggegevens: sluit het toegangspunt af

De meest directe manier om phishing van inloggegevens te voorkomen, is het beveiligen van de sleutels van uw verzendinfrastructuur.

  • Zorg ervoor dat voor alle ESP-beheerdersaccounts meervoudige authenticatie (MFA) wordt toegepast.
  • Gebruik API-sleutels met een strikt afgebakend toepassingsgebied, die beperkt zijn tot de minimaal vereiste rechten.
  • Wissel de API-sleutels voor de productieomgeving regelmatig.
  • Implementeer geautomatiseerde codescans om ervoor te zorgen dat vertrouwelijke gegevens nooit naar openbare repositories worden gecommitteerd.
  • Controleer wekelijks de dashboards van uw e-maildienst (ESP) op ongebruikelijke pieken in het verzendvolume of onbekende afzenderinstellingen.

4. Gedragsgebaseerde e-mailbeveiliging

Omdat traditionele gateways tekortschieten bij het detecteren van bedreigingen binnen een vertrouwde infrastructuur, hebt u een geïntegreerde cloud-e-mailbeveiligingslaag (ICES) nodig. AI-gestuurde gedragsgerichte beveiligingstools analyseren de context in plaats van alleen de reputatie. Ze kijken naar de communicatiegeschiedenis, gebruikelijke verzendvolumes en taalpatronen. Als een volledig geauthenticeerd account plotseling een afwijkend factuuraanvraagbericht naar een ongebruikelijke ontvanger stuurt, kunnen gedragsgerichte tools dit signaleren en in quarantaine plaatsen.

5. Gerichte bewustwordingstraining voor gebruikers

Als een phishing-e-mail alle technische controles doorstaat, komt het aan op menselijke waakzaamheid. Medewerkers moeten worden getraind om te herkennen dat een e-mail met perfecte huisstijl, een correct afzenderadres en geen technische waarschuwingen toch een valstrik kan zijn als het onderliggende account is gekaapt.

Leer uw team om plotselinge betalingsopdrachten of wijzigingen in de rekeninggegevens zelfstandig te verifiëren via een tweede, extern communicatiekanaal (zoals een kort telefoontje). Ze moeten ook de uiteindelijke landingspagina’s in de browser zorgvuldig controleren voordat ze hun inloggegevens invoeren, ongeacht hoe veilig de link in de oorspronkelijke e-mail eruitzag.

Tot slot kunnen medewerkers eenvoudig een phishing-e-mailchecker gebruiken om direct een analyse van de dreiging te krijgen. Het enige wat ze hoeven te doen, is de volledige brontekst van de e-mail, inclusief de headers, te plakken om de authenticatiegegevens, signalen van de afzender, verdachte links, urgentiepatronen en meer te controleren.

Phishing-e-mailcontrole

Laatste woorden

Het bedreigingsmodel voor bedrijven is fundamenteel veranderd. Moderne, geavanceerde phishing is niet langer gebaseerd op slecht opgemaakte e-mails die worden verzonden vanaf willekeurige, verdachte domeinen. Door misbruik te maken van legitieme infrastructuur profiteren aanvallers actief van de clouddiensten die we dagelijks gebruiken en vertrouwen, waarbij ze de kloof tussen de autorisatie van de afzender en de daadwerkelijke identiteitscontrole uitbuiten.

Uw beveiligingsstrategie moet worden aangepast aan deze realiteit. Hoewel authenticatieprotocollen op zichzelf het probleem niet oplossen, verandert het nauwlettend in de gaten houden van uw omgeving de situatie volledig.

Beveilig uw e-mailomgeving vandaag nog: wilt u precies weten wie er namens uw merk e-mails verstuurt? Krijg grip op uw beveiligingsperimeter en ontvang realtime meldingen over onverwacht verzendgedrag met de PowerDMARC DMARC Analyzer.

Veelgestelde Vragen

Als een e-mail voldoet aan SPF, DKIM en DMARC, waarom laat mijn beveiligingsgateway deze dan toch door?

Omdat beveiligingsgateways zo zijn geprogrammeerd dat ze juist die protocollen vertrouwen. Wanneer een e-mail op alle drie de punten volledig voldoet, gaat de gateway ervan uit dat het om legitieme, geautoriseerde communicatie van de domeineigenaar gaat. Gateways controleren of de infrastructuur toestemming heeft om de e-mail te versturen, niet wie er achter het toetsenbord zit en de e-mail typt.

Betekent dit dat DMARC niet goed werkt of nutteloos is?

Helemaal niet. DMARC doet precies waarvoor we het hebben ontworpen: het voorkomt dat willekeurige kwaadwillenden zomaar uit het niets je domeinnaam namaken. Het kan niet onderscheiden of een aanvaller een gestolen API-sleutel heeft gekocht of je daadwerkelijke cloudaccount heeft gekaapt. Zie DMARC als een hightech veiligheidsslot: het werkt perfect, tenzij de inbreker je echte huissleutels steelt.

Waarom kunnen we de IP-adressen die deze phishing-e-mails versturen niet gewoon blokkeren?

Omdat die IP-adressen behoren tot grote, legitieme diensten zoals Amazon SES of SendGrid. Elke dag stromen er miljoenen gewone, veilige zakelijke e-mails (zoals ontvangstbewijzen, vluchtbevestigingen en wachtwoordresets) via precies diezelfde IP-adressen. Als je het IP-bereik blokkeert, blokkeer je zowel het legitieme als het ongewenste verkeer.

Hoe komen hackers aan de inloggegevens van deze cloud-e-mailplatforms?

Meestal komt het neer op simpele menselijke fouten. Ontwikkelaars laten soms per ongeluk API-sleutels achter in openbare GitHub-repositories of voegen bestanden zoals .env toe die onversleutelde inloggegevens bevatten. In andere gevallen kopen cybercriminelen gewoon gelekte, geldige inloggegevens op cybercriminaliteitsforums voor een habbekrats, vaak al voor slechts $15.

Kan bewustwordingstraining voor gebruikers daadwerkelijk helpen als de technische filters falen?

Ja, maar je moet de manier waarop je mensen opleidt aanpassen. Bij traditionele trainingen wordt gebruikers geleerd om te letten op ‘rode vlaggen’, zoals e-mailadressen die er nep uitzien of afwijkende authenticatiecijfers. Bij misbruik van de infrastructuur zijn die rode vlaggen er niet. De training moet zich richten op gedragscontrolepunten, zoals de telefoon opnemen om een plotseling, buiten de normale gang van zaken vallend verzoek om geld of gevoelige accountwijzigingen te verifiëren, hoe onschuldig de e-mail er ook uitziet.