What is a OneNote email attack?

A OneNote email attack is a type of business email compromise where attackers use malicious OneNote file attachments or OneNote-themed lures to infiltrate corporate email. In documented cases, attackers gained access, silently monitored email threads for weeks, then registered lookalike domains to send fraudulent invoices that matched ongoing conversations.

How do attackers use lookalike domains in BEC fraud?

Attackers register domains that differ by one or two characters from the target company, such as swapping "rn" for "m" or adding a hyphen. After monitoring legitimate email chains, they inject themselves into invoice conversations using these near-identical domains. Recipients often miss the difference because the context, formatting, and timing all match real correspondence.

OneNote E-mailaanval

Trace a real BEC scam built on weeks of inbox surveillance.

Wat is OneNote E-mailaanval?

Een zakelijke e-mailcompromittering (BEC) is een gerichte aanval waarbij criminelen het e-mailaccount van een vertrouwd contact infiltreren of vervalsen om betalingen om te leiden. Deze oefening reconstrueert een echt incident dat oorspronkelijk werd gedocumenteerd in een Reddit-post, waarbij aanvallers toegang kregen tot het e-mailaccount van een klant, factuurogerelateerde gesprekken wekenlang monitorden zonder een enkel bericht te versturen, en toesloegen op het exacte moment dat een legitieme betaling verschuldigd was. U ontvangt een verzoek tot factuuromlediging dat afkomstig lijkt te zijn van een bekende zakelijke contactpersoon. De aanvaller registreerde een lookalike-domein, waarbij een enkel teken in de bedrijfsnaam werd verwisseld, en gebruikte dit om een bericht te sturen met verwijzingen naar echte projectdetails, verzameld uit weken van surveillance. Elk element van de e-mail ziet er correct uit: de toon, de opmaak, de projectverwijzingen, het factuurbedrag. De enige aanwijzing is een verschil van één teken in de domeinnaam van de afzender. Uw taak is de waarschuwingssignalen te identificeren, verificatieprocedures te volgen en te begrijpen waarom dit type aanval slaagt tegen organisaties die geen out-of-band betalingsbevestigingsprocessen hebben. BEC-aanvallen veroorzaakten volgens FBI IC3-gegevens meer dan $2,9 miljard aan gerapporteerde verliezen in 2023, waarmee ze de financieel schadelijkste categorie cybercriminaliteit zijn.

Wat je leert in OneNote E-mailaanval

De kenmerken identificeren van een gemonitorde BEC-aanval waarbij criminelen e-mailgesprekken observeren voordat ze handelen
Lookalike-domeinen detecteren door afzenderadressen teken voor teken te vergelijken met bekende contacten
Out-of-band verificatieprocedures toepassen om betalingswijzigingen te bevestigen via een apart communicatiekanaal
Herkennen hoe aanvallers echte projectdetails en factuurbedragen gebruiken om geloofwaardigheid op te bouwen in frauduleuze verzoeken
Uitleggen waarom bevestiging alleen per e-mail ontoereikend is voor elke wijziging in financiële transacties, ongeacht hoe legitiem het verzoek lijkt

OneNote E-mailaanval — Trainingsstappen

Inleiding: wachten op cruciale contractdocumenten

Twee maanden lang heb je samen met Bob Chen, CEO van DataFlow Analytics, gewerkt aan een jaarlijkse contractverlenging van $ 500.000. Bob beloofde deze week ondertekende contractdocumenten te sturen, maar die zijn nog niet gearriveerd. Uw juridische team en manager hebben dagelijks om deze documenten gevraagd - de deal kan niet worden gesloten zonder de handtekening van Bob. Het is vrijdagmiddag, 16:45 uur. Je checkt nog een laatste keer je e-mail voor het weekend, in de hoop dat Bob eindelijk de contracten heeft verzonden.
De langverwachte e-mail arriveert

Er verschijnt een nieuw bericht van Bob Chen bovenaan je inbox! Onderwerp: 'Ondertekende contractdocumenten - Definitieve versie.' Na weken wachten heeft Bob eindelijk de documenten verzonden. Je kunt de deal in het weekend afronden en maandag de contractverlenging aankondigen. Er is een link naar een OneNote-bestand. Het bedrijf van Bob deelt vaak documenten via OneDrive, dus dit lijkt normaal.
De contractlink openen

Je aarzelt niet. De e-mail ziet er volledig legitiem uit: hij is afkomstig van Bob's DataFlow Analytics-adres, vermeldt de vertraging bij de goedkeuring van het bestuur waarover hij u heeft verteld, en het onderwerp komt precies overeen met wat u had verwacht. U klikt op de link. Uw browser wordt geopend op wat lijkt op een OneDrive-pagina met een voorbeeld van een OneNote-document. De pagina ziet er precies hetzelfde uit als de interface van Microsoft: dezelfde branding, kleuren en lay-out. Er is een documentvoorbeeld met een contract met handtekeningen en zakelijk briefpapier.
Het aanmeldingsverzoek

Op de pagina wordt een aanmeldingsformulier van Microsoft weergegeven. Dit is normaal: u authenticeert vaak wanneer u toegang krijgt tot documenten die door externe partners worden gedeeld. De pagina heeft de juiste Microsoft-branding en lijkt precies op de authenticatiepagina die u tientallen keren per week ziet wanneer externe klanten bestanden delen.
Uw gegevens invoeren

Het aanmeldingsformulier verschijnt met de bekende Microsoft-stijl. U hebt zich honderden keren eerder geverifieerd via gedeelde OneDrive-koppelingen. U typt zonder aarzelen uw zakelijke e-mailadres en wachtwoord in. Deze contracten heeft u maandagochtend nodig voor het juridische team. Het is vrijdag 16.50 uur en u wilt de documenten in het weekend bekijken.
Er gaat iets mis

Nadat u de inloggegevens hebt ingevoerd, wordt op de pagina een laadspinner weergegeven en vervolgens 'Verbindingstime-out' weergegeven. U probeert toegang te krijgen tot uw bedrijfse-mail, maar plotseling wordt u gevraagd zich opnieuw aan te melden. 'Ongeldige inloggegevens.' Je maag zakt. U probeert OneDrive - hetzelfde probleem. Je bent buitengesloten. De gruwelijke waarheid dringt tot je door: dat was niet de echte OneDrive. Het was een geavanceerde neppagina die was ontworpen om inloggegevens te stelen. U heeft zojuist uw zakelijke e-mailadres, wachtwoord en toegang tot het volledige Microsoft 365-systeem van uw bedrijf gegeven aan aanvallers. Ze logden onmiddellijk in op uw echte account en veranderden uw wachtwoord, waardoor u buitengesloten werd.
Noodgeval: IT-beveiliging bellen

U belt direct de hotline IT Security. Na een aantal belsignalen laat u een dringende voicemail achter waarin u uitlegt dat u bent gephishing en buitengesloten. Je handen trillen terwijl je wacht. De aanvallers hebben toegang tot gevoelige klantinformatie, financiële gegevens en interne documenten. Twee minuten later gaat uw bureautelefoon over: IT-beveiliging belt terug.
De reactie van het beveiligingsteam

Het IT-beveiligingsteam belt terug om u te helpen uw account te vergrendelen en de schade te beoordelen. Ze moeten snel handelen om de inbreuk tot een minimum te beperken.
De schadebeoordeling: zes kritieke minuten

Binnen twee minuten dwong de beveiliging een wachtwoordreset af en schopte de aanvallers eruit. Maar de schade is al aangericht. Gecompromitteerde gegevens omvatten ondertekende contracten met prijzen, financiële prognoses, klant-PII, bedrijfseigen technische documenten en privéonderhandelingen. Deze gegevens kunnen aan concurrenten worden verkocht, publiekelijk worden gelekt of voor verdere aanvallen worden gebruikt.
Het melden van de phishing-e-mail

Nu de crisis onder controle is, rapporteer je de kwaadaardige e-mail. De functie 'Report Phishing' helpt de beveiliging bij het analyseren van headers, het blokkeren van afzenderdomeinen, het identificeren van andere beoogde werknemers en het delen van informatie over bedreigingen.

Wat is OneNote E-mailaanval?

Wat je leert in OneNote E-mailaanval

OneNote E-mailaanval — Trainingsstappen

Inleiding: wachten op cruciale contractdocumenten

De langverwachte e-mail arriveert

De contractlink openen

Het aanmeldingsverzoek

Uw gegevens invoeren

Er gaat iets mis

Noodgeval: IT-beveiliging bellen

De reactie van het beveiligingsteam

De schadebeoordeling: zes kritieke minuten

Het melden van de phishing-e-mail