Waarom is dit onderwerp relevant voor mijn organisatie?

Menselijk gedrag is de meest voorkomende oorzaak van beveiligingsincidenten. Kennis en bewustzijn van dit thema verlagen het risico direct en aantoonbaar.

Hoe helpt 2LRN4 hierbij?

2LRN4 koppelt dit thema aan een risicogericht trainingsmodule, optionele phishing-simulatie en rapportages, zodat u naleving kunt aantonen aan toezichthouders en het bestuur.

Is een awareness-training voldoende of is meer nodig?

Training is een noodzakelijke bouwsteen, maar geen volledig schild. Combineer het met technische maatregelen (MFA, e-mailfiltering), procedures en een meldzame cultuur voor de beste bescherming.

Safe Links in Exchange (Safe URLs): waarom het herschrijven van URL's schijnveiligheid is

Microsoft Defender voor Office 365 biedt Safe Links, in de praktijk vaak "Safe URLs" genoemd. Deze functie herschrijft elke link in inkomende e-mail naar een Microsoft-adres, zodat de bestemming op het moment dat je klikt nog een keer wordt gecontroleerd. Dat klinkt verstandig: een extra controle vlak voordat je ergens terechtkomt. Maar door dat herschrijven verdwijnt juist wat je nodig hebt om zelf te oordelen: de zichtbare bestemming. Je voelt je veiliger, terwijl je minder ziet. En de kern van de oplossing is níet dat Microsoft met de functie moet stoppen. De kern is dat beheerders moeten stoppen met het herschrijven klakkeloos aan te zetten, en het pas inzetten nadat ze de nadelen bewust hebben afgewogen.

Wat doet Safe Links (Safe URLs) precies?

Stel, je krijgt een mail met een link naar https://betaalmiddel.nl/inloggen. Met Safe Links aan herschrijft Microsoft die link tot iets als https://eur01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fbetaalmiddel.nl%2Finloggen&data=05%7C01%7C.... De oorspronkelijke bestemming zit nu verstopt als parameter in een lange, onleesbare Microsoft-URL.

Zodra je klikt, leidt Microsoft je eerst langs zijn eigen controleserver. Die toetst het doeladres aan actuele dreigingsinformatie, op het moment van klikken zelf (in het Engels: time-of-click). Staat het adres op dat moment bekend als kwaadaardig, dan zie je een waarschuwingspagina in plaats van de site. Is het nog niet bekend, dan word je gewoon doorgestuurd. De controle gebeurt dus pas bij de klik, niet wanneer je de mail leest.

Waarom het op papier een goed idee lijkt

Safe Links is niet waardeloos, en dat hoort er eerlijk bij. De functie levert een paar echte voordelen op:

Bescherming op het klikmoment: een link die bij bezorging nog schoon was, maar later kwaadaardig wordt gemaakt, kan op het moment van klikken alsnog worden geblokkeerd.
Centraal blokkeren: zodra Microsoft een domein als kwaadaardig markeert, zijn al je gebruikers in één keer beschermd, zonder dat je zelf iets hoeft te doen.
Inzicht in kliks: je securityteam ziet wie op welke link heeft geklikt. Dat is veel waard bij het onderzoeken van een incident.
Lage drempel: de functie staat binnen enkele minuten aan en kost geen extra licentie als je Defender voor Office 365 al hebt.

Het kernprobleem: je kunt de echte bestemming niet meer lezen

Een URL is geen ondoorgrondelijke technische reeks. Het is informatie. Het domein vertelt je bij wie je uitkomt. Het pad zegt iets over wat je gaat doen. De parameters geven context. Een geoefend oog ziet meteen dat microsoft-login.secure-verify.ru niet van Microsoft is, maar een Russisch domein dat zich als Microsoft voordoet.

Zodra Safe Links de link herschrijft naar een adres op safelinks.protection.outlook.com, is die informatie verdwenen. Je ziet alleen nog een Microsoft-URL met een wirwar aan parameters. Je kunt niet meer met je muis over de link gaan en zelf beoordelen waar je terechtkomt. Het enige wat je nog ziet, is dat het "iets van Microsoft" is, en dat voelt precies zo veilig als de aanvaller hoopt.

Waarom dit schijnveiligheid is

Schijnveiligheid ontstaat wanneer een maatregel het gevóel van veiligheid sterker vergroot dan de veiligheid zelf. Safe Links is daar een schoolvoorbeeld van. Medewerkers leren onbewust: "als de link via Microsoft loopt, is hij gecontroleerd en dus veilig." Daardoor verslapt de aandacht juist op het moment dat die het hardst nodig is.

Bovendien is die controle op het klikmoment verre van waterdicht. Aanvallers weten precies hoe het werkt en omzeilen het met gemak:

Verhullen (cloaking): de phishingsite toont de scanner van Microsoft onschuldige inhoud en de gebruiker de echte, kwaadaardige pagina. De controle slaagt, en jij wordt alsnog opgelicht.
Splinternieuwe domeinen: een net opgezet phishingdomein staat nog op geen enkele zwarte lijst. Op het moment van klikken kent Microsoft het simpelweg niet en stuurt het je door.
Misbruik van vertrouwde domeinen: aanvallers gebruiken een legitiem domein dat doorverwijst, bijvoorbeeld een advertentie- of trackingdienst, zodat de eerste controle schoon lijkt.
Links buiten bereik: adressen in bijlagen, in QR-codes of in afbeeldingen worden niet herschreven. Juist daarheen verplaatsen aanvallers hun links.

De dilemma's waar je als beheerder mee zit

Dit is geen kwestie van "gewoon aanzetten" of "gewoon uitzetten". Als beheerder zit je klem tussen reële, tegenstrijdige belangen. En juist die dilemma's worden zelden hardop benoemd:

Bescherming tegenover leesbaarheid. Zet je het herschrijven aan, dan win je bescherming tegen links die pas later kwaadaardig worden, maar verlies je het vermogen van mensen om de bestemming zelf te lezen. Allebei tegelijk maximaliseren kan niet.
Een extra laag tegenover gewenning. Een extra verdedigingslaag klinkt altijd goed, maar elke laag die mensen geruststelt, verlaagt hun eigen oplettendheid. Een gelaagde verdediging kan de menselijke waakzaamheid juist ondermijnen.
Inzicht tegenover blindheid. Het inzicht in kliks is waardevol voor je securityteam, maar je betaalt die gegevens met de blindheid van je gebruikers. Is dat een eerlijke ruil?
Beeldvorming tegenover werkelijkheid. Het herschrijven uitzetten voelt voor de directie en accountants als "minder veilig", ook al maakt het je mensen op termijn weerbaarder. Je moet een keuze durven uitleggen die op het eerste gezicht minder veilig lijkt.
Gemak tegenover afhankelijkheid. Hoe meer je leunt op de automatische controle, hoe afhankelijker je wordt van één leverancier die je mensen het denken uit handen neemt.

Niet Microsoft, maar jij als beheerder bent aan zet

Het is verleidelijk om te zeggen: "Microsoft moet de functie maar beter maken." Maar de knop ligt niet bij Microsoft, hij ligt bij jou. In het beleid voor Safe Links bepaal jij of links worden herschreven, of de oorspronkelijke URL zichtbaar blijft, en welke uitzonderingen er gelden. De macht én de verantwoordelijkheid liggen bij de beheerder.

De boodschap is dus niet "zet alles uit", maar: stop met het herschrijven uit gewoonte aan te zetten. Behandel het niet als gratis extra veiligheid, maar als een ingreep met een prijs. Weeg de waarde van de controle, de bescherming op het klikmoment, het inzicht in kliks en het centraal blokkeren, bewust af tegen wat het kost: mensen die niet meer leren kijken. In veel organisaties is die prijs hoger dan de winst, zeker als je tegelijk investeert in de weerbaarheid van je mensen.

Wat je beter wél doet

Een volwassen aanpak verbindt techniek en gedrag, in plaats van het ene voor het andere op te offeren:

Behoud de controle, heroverweeg het herschrijven. Benut de detectie en het blokkeren van Defender, maar vraag je kritisch af of het verbergen van de URL die waarde waard is.
Leer mensen URL's lezen. Laat zien waar het echte domein eindigt, wat een subdomein is en hoe een afwijkende extensie eruitziet. Dit is een vaardigheid, geen feitje dat je even uit je hoofd leert.
Meet gedrag met phishingsimulaties. Niet om mensen te betrappen, maar om te zien of het herkennen en melden verbetert. Stuur op het meldpercentage, niet alleen op het klikpercentage.
Maak melden makkelijk en veilig. Eén knop om verdachte mail te melden, zonder dat iemand zich dom hoeft te voelen. Snelle meldingen zijn je beste vroege waarschuwing.
Combineer met phishingbestendige aanmelding. Met FIDO2 of passkeys is een buitgemaakt wachtwoord veel minder waard, ook als iemand tóch een keer klikt.

Zo train je medewerkers in échte URL-analyse

Wees eerlijk: een URL beoordelen is níet eenvoudig. Wie roept "mensen moeten gewoon even de link controleren, hoe moeilijk is dat" begrijpt het zelf onvoldoende. Domeinen kunnen misleidend zijn, subdomeinen verwarrend, en aanvallers spelen bewust in op je verwachting. Daarom train je het als vaardigheid, met herhaling en echte voorbeelden.

Een belangrijk detail: zolang Safe Links de URL's herschrijft, kun je deze training niet eens fatsoenlijk geven, want er valt voor je mensen niets meer te lezen. Wil je mensen leren kijken, dan moet de echte URL zichtbaar zijn. Begin klein: laat in korte, terugkerende oefeningen telkens een handvol adressen zien en laat mensen het echte domein aanwijzen. Bouw daarna op naar lastigere gevallen: bijna identieke tekens, lange rijen subdomeinen, en links die op het eerste gezicht kloppen maar net niet.

Hoe aanvallers een URL vermommen: voorbeelden om te oefenen

Gebruik dit soort voorbeelden in je training. Laat mensen zelf aanwijzen wat er niet klopt:

Bijna identieke tekens: goog1e.com (een cijfer 1 in plaats van de letter l) of g00gle.com (met twee nullen). Visueel bijna niet te onderscheiden, technisch een ander domein.
Misleidend subdomein: microsoft.login.secure-verify.ru. Het echte domein is secure-verify.ru; "microsoft" en "login" zijn slechts subdomeinen die vertrouwen moeten wekken.
Net het verkeerde domein: ing-betalen.com in plaats van het echte ing.nl. Bekende merknaam, alleen net niet het juiste adres.
Verborgen doorverwijzing: een link naar een vertrouwd domein dat je via een parameter doorstuurt naar een kwaadaardige site, bijvoorbeeld ...?redirect=https://phish.example.

FAQ

Is Safe Links (Safe URLs) dan helemaal nutteloos?

Nee. De controle op het klikmoment, het centraal blokkeren van bekende kwaadaardige domeinen en vooral het inzicht in kliks voor je securityteam hebben echte waarde. Het probleem is niet de detectie op de achtergrond, maar het herschrijven van de zichtbare link en het valse gevoel van veiligheid dat daardoor ontstaat. Je gooit het kind niet met het badwater weg; je heroverweegt alleen het herschrijven.

Moet ik Safe URLs dan meteen uitzetten?

Niet zomaar. Maar zet het ook niet zomaar aan. Behandel het als een bewuste afweging: weeg de winst van de controle en het inzicht in kliks af tegen de prijs dat je mensen de bestemming niet meer kunnen lezen en gewend raken aan de automatische beveiliging. Kies je voor herschrijven, doe het dan met open ogen en vang het op met training in het lezen van URL's. In veel organisaties zijn de leesbaarheid en de weerbaarheid van mensen op termijn meer waard dan die extra automatische laag.

Hoe herken ik dan zelf of een link veilig is?

Lees naar het einde van het domein toe: het echte domein staat vlak vóór de eerste enkele schuine streep, dus de extensie zoals .nl of .com en het woord daarvoor. Alles wat daarvóór staat, zijn subdomeinen die een aanvaller vrij kan invullen. Let op bijna identieke tekens (een cijfer 1 voor de letter l, een nul voor de o), merknamen op het verkeerde domein, en verborgen doorverwijzingen. Twijfel je? Klik dan niet, maar ga zelf naar de bekende site of bel de afzender via een nummer dat je al hebt.

Wat als een medewerker tóch op een kwaadaardige link klikt?

Reageer snel en zonder verwijten. Laat de medewerker het meteen melden bij IT, koppel het apparaat los van het netwerk bij een vermoeden van schadelijke software, en reset onmiddellijk de wachtwoorden van de betrokken accounts en de actieve sessies. Controleer of de meervoudige verificatie nog intact is en kijk in de logbestanden wie dezelfde mail nog meer heeft gekregen. Een snelle, kalme melding beperkt de schade veel meer dan een schuldbewuste stilte.

Waar ligt de grens tussen voorzichtigheid en achterdocht?

Voorzichtigheid is een vaste gewoonte bij riskante handelingen: inloggen, betalen, of iets met gevoelige gegevens. Daar verifieer je altijd. Achterdocht is bij elke mail vastlopen en niets meer durven. Leg de grens bij het proces: bij ongebruikelijke verzoeken rond geld of inloggegevens verifieer je via een onafhankelijk kanaal, bij gewone interne mail vertrouw je op je getrainde gevoel. Zo blijf je zowel werkbaar als weerbaar.