Een kijkje in de OpenAI-factuurzwendel: misbruik van SendGrid en callback-phishing uitgelegd

Januari 23, 2026
Kaseya
E-mailbeveiliging, Phishing

Cybercriminelen staan nooit stil en vinden steeds nieuwe manieren om misbruik te maken van vertrouwen, vertrouwdheid en menselijke instincten. INKY zien dat cybercriminelen cloud-e-mailplatforms en spraakgestuurde social engineering gebruiken om beveiligingsmaatregelen te omzeilen. Een recent voorbeeld is een phishingcampagne waarbij honderden e-mails werden verstuurd vanuit een gehackte SendGrid-account die gekoppeld was aan OpenAI om frauduleuze facturen te versturen.

Bescherm uzelf tegen kwaadaardige e-mails met Kaseya Inky

Stop geavanceerde phishing en e-mailgebaseerde bedreigingen voordat ze gebruikers bereiken met INKY

Aan de slag

Een e-mail met een factuur als onderwerp, zogenaamd afkomstig van OpenAI, werd verzonden vanaf [email protected] via SendGrid. Omdat het bericht werd verzonden via een legitiem OpenAI SendGrid-account, doorstond het de SPF-, DKIM- en DMARC-controles voor openai.com. Er werd beweerd dat een abonnementsgeld van $ 763,99 was bevestigd en de ontvanger werd aangespoord om een support te bellen om dit te betwisten. Het bericht bevatte geen kwaadaardige links of bijlagen. De enige call-to-action was een telefoonnummer. Door deze opzet kan de zwendel door URL-filtergateways glippen en misbruik maken van het vertrouwen users in bekende merken en telefoongesprekken.

Fig. 1: De phishing-e-mail met factuur als thema

Misbruik van SendGrid-infrastructuur

Legitieme e-mailbezorgingsplatforms zijn krachtige tools geworden voor cybercriminelen die zich willen mengen in normale zakelijke communicatie.

De aantrekkingskracht van SendGrid op aanvallers

SendGrid wordt veel gebruikt door bedrijven om grote hoeveelheden transactionele en marketingmails te versturen. Het biedt een hoge deliverability en geavanceerde functies, zoals click-tracking en analytics.   Cybercriminelen misbruiken SendGrid-accounts echter om phishingcampagnes te lanceren, waarbij ze zich voordoen als SendGrid zelf en andere vertrouwde merken. De belofte van een leveringspercentage van 99% maakt het platform aantrekkelijk voor criminelen. Met een gehackt SendGrid-account kunnen ze vervalste e-mails versturen die de SPF/DKIM-controles doorstaan en legitiem lijken voor de ontvangers.

Mogelijke compromittering van het SendGrid-account van OpenAI

De phishing-e-mails in deze campagne maakten niet alleen misbruik van de naam van OpenAI, maar werden ook verzonden via een echt SendGrid-account dat was geconfigureerd op het domein openai.com. De berichten doorstonden de SPF-, DKIM- en DMARC-controles voor openai.com en bevatten SendGrid-specifieke headers, wat erop wijst dat de afzender geauthenticeerde toegang had tot de SendGrid-tenant van OpenAI.

Er zijn verschillende plausibele manieren waarop criminelen dergelijke toegang zouden kunnen hebben verkregen:

  • Massale wachtwoordkraken en account-overnames: Twilio, company van SendGrid, heeft toegegeven dat veel klantaccounts zijn gehackt en misbruikt voor spam. KrebsOnSecurity heeft gemeld dat een ongewoon groot aantal SendGrid-klantaccounts is gehackt en dat de wachtwoorden zijn verkocht aan spammers, waardoor criminelen phishing- en malwarecampagnes konden uitvoeren via vertrouwde klantdomeinen. Zodra een SendGrid-account is gehackt, komen de resulterende e-mails voorbij de eenvoudige spamfilters omdat ontvangers vertrouwen hebben in de infrastructuur van SendGrid.
  • Ondergrondse markt voor SendGrid-inloggegevens: Cybercriminelen handelen actief in toegang tot gekaapte SendGrid-accounts. security Chief security van Twilio erkende dat het company een toename van het aantal gehackte accounts company gezien en dat meervoudige authenticatie (MFA) niet verplicht was. Onderzoekers merken op dat de markt voor deze accounts wordt gevoed door hergebruik van wachtwoorden: aanvallers richten zich op users inloggegevens op verschillende sites hergebruiken en verkopen vervolgens werkende logins. Een verkoper, die onder de naam "Kromatix" opereert, adverteerde met meer dan 400 gehackte SendGrid-accounts, waarbij hij de prijs baseerde op het maandelijkse e-mailvolume dat ze konden versturen. Deze gestolen accounts kunnen worden gebruikt om API-sleutels te genereren en phishing-e-mails met een hoge leverbaarheid te versturen.
  • Phishing en het verzamelen van inloggegevens: Aanvallers kunnen users phishen om hun inloggegevens te stelen. Omdat criminelen het gehackte account kunnen gebruiken om geauthenticeerde e-mails te versturen, worden de domeinen van de slachtoffers ongewild betrokken bij toekomstige aanvallen. Als een medewerker of contractant van OpenAI zijn SendGrid-wachtwoord opnieuw heeft gebruikt, of als zijn inloggegevens bij een andere inbreuk zijn gehackt, kunnen aanvallers inloggen op het SendGrid-dashboard en een frauduleuze factuurcampagne opzetten.
  • Zwakke of ontbrekende multifactorauthenticatie: het management van Twilio gaf aan dat MFA optioneel was voor SendGrid-accounts en dat het company om dit verplicht te stellen. Zonder MFA kunnen aanvallers accounts overnemen door simpelweg wachtwoorden te raden of te verkrijgen. Het ontbreken van aanvullende verificatie verhoogt het risico dat legitieme domeinen zoals openai.com worden misbruikt voor phishing.

Het is belangrijk om te benadrukken dat er geen openbare bevestiging is dat OpenAI zelf is gehackt. De aanwezigheid van het domein openai.com in deze phishing-e-mails betekent dat de aanvallers toegang hadden tot bepaalde SendGrid-inloggegevens die aan OpenAI waren gekoppeld. Of deze toegang het gevolg was van gestolen inloggegevens, hergebruik van wachtwoorden, een phishing-aanval op een medewerker of een gecompromitteerde externe leverancier, blijft onbekend.

Niettemin wijzen de wijdverspreide verkoop van gekraakte SendGrid-accounts en de onzekerheid over de vraag of de inloggegevens zijn gestolen of dat SendGrid zelf is gehackt, erop dat de OpenAI-factuurzwendel waarschijnlijk het gevolg was van account-overname in plaats van eenvoudige spoofing. Organisaties die SendGrid gebruiken, moeten dit incident beschouwen als een waarschuwing om MFA af te dwingen, API-sleutels regelmatig te rouleren en te controleren op ongebruikelijke verzendpatronen.

Koptekstanalyse van de OpenAI-factuurmail

De kwaadaardige e-mail werd verzonden vanaf [email protected] via SendGrid. Uit analyse van de header bleek dat de e-mail meerdere keren door de e-mailinfrastructuur van Microsoft was gegaan voordat deze de ontvanger bereikte. Belangrijke observaties zijn onder meer:

  • Authenticatieresultaten: het bericht is geslaagd voor de SPF-, DKIM- en DMARC-controles omdat tm.openai.com het IP-adres van SendGrid (159.183.120.121) heeft geautoriseerd. Aanvallers vertrouwen op gehackte SendGrid-accounts om een dergelijke afstemming te garanderen.

  • Ontvangen headers: One hop leest Received: from MjAyMTY3MDY (onbekend) door geopod-ismtpd-15 (SG) met HTTP-id …, wat aangeeft dat de geopod‑ismtpd-servers van SendGrid het bericht hebben gegenereerd. De aanwezigheid van "geopod‑ismtpd" en "(onbekend)" in de ontvangen headers is een veelvoorkomende indicator dat de e-mail afkomstig is van SendGrid.

  • X‑SG-velden: Het bericht bevat X‑SG‑EID- en X‑SG‑ID-headers, die uniek zijn voor SendGrid. Deze geven aan dat het bericht is verzonden via de API van SendGrid en niet via een persoonlijke e-mailclient.

  • Onderwerp en tekst: Het onderwerp luidde "Abonnementskosten bevestigd: $763,99" en de tekst bevatte één enkele oproep tot actie: "Support +1 (701) 638-0848." Er waren geen links opgenomen, dus URL-filters konden geen kwaadaardige domeinen identificeren. De tekst maakte gebruik van OpenAI-branding en dringende taal om een gevoel van paniek en legitimiteit te creëren.

De combinatie van SendGrid-leverbaarheid, cryptografische afstemming en merkimitatie maakt het voor standaard security moeilijk om dergelijke e-mails te blokkeren.

Fig. 2: Analyse van de e-mailheader van de phishing-e-mail

Aanvalsketen: Callback-phishing/vishing

Callback-phishing, ook wel bekend als TOAD (telephone-oriented attack delivery), is een vorm van oplichting die begint met een valse factuur of abonnementsbericht. Deze e-mails doen zich vaak voor als rekeningen van bekende bedrijven en bevatten een telefoonnummer dat kan worden gebeld als de kosten niet zijn geautoriseerd. Het doel is om het slachtoffer het nummer te laten bellen in plaats van op een link te klikken. Zodra het slachtoffer belt, doet de aanvaller zich voor als een medewerker van de klantenservice en vraagt hij om persoonlijke gegevens of geeft hij het slachtoffer instructies omsupport te installeren. Omdat er geen kwaadaardige links of bijlagen zijn, kunnen dergelijke berichten traditionele e-mailfilters omzeilen.

Callback-scams spelen in op urgentie: in de e-mail wordt de ontvanger aangespoord om te bellen om een hoge rekening te annuleren, waarna de oplichter om persoonlijke gegevens of toegang op afstand vraagt. Bij callback-phishing worden users misleid users naar een opgegeven nummer te bellen. De oplichter gebruikt vervolgens social engineering om inloggegevens, financiële gegevens of toegang op afstand te verkrijgen. Deze methode verschilt van traditionele phishing omdat het gesprek via een telefoongesprek verloopt, waardoor het voor security moeilijker is om toezicht te houden.

Fig. 3: Phishingbericht met terugbelverzoek

Stapsgewijze keten in de OpenAI-factuurzaak

  • Eerste e-mail: Het slachtoffer ontvangt via SendGrid een bericht in de vorm van een factuur van [email protected]. Hierin wordt beweerd dat er een hoog bedrag ($ 763,99) in rekening is gebracht en wordt een support vermeld. Omdat het bericht SPF, DKIM en DMARC doorstaat, lijkt het authentiek en wordt het niet door e-mailfilters tegengehouden.

  • Telefoontje: Omdat het slachtoffer denkt dat de kosten echt zijn, belt hij het support . Een oplichter die zich voordoet als een medewerker van OpenAI neemt op. Hij kan vragen naar de naam, het e-mailadres of andere identificerende gegevens van het slachtoffer om 'het account op te zoeken'.

  • Hulp op afstand: De oplichter beweert dat hij de betaling moet terugdraaien of een terugbetaling moet uitvoeren en geeft het slachtoffer de instructie om support op afstand te installeren, waardoor hij toegang krijgt tot het apparaat van het slachtoffer.
  • Compromis: Met externe toegang kan de aanvaller gevoelige gegevens (bankgegevens, persoonlijke identificatienummers) verzamelen of het slachtoffer door valse terugbetalingsprocessen leiden die resulteren in echt financieel verlies. Vroege campagnes gebruikten deze techniek om malware te installeren, externe toegang te verlenen en soms te leiden tot ransomware-aanvallen. Aanvallers kunnen het slachtoffer ook instrueren om in te loggen bij hun bank om geld te "verifiëren" en vervolgens stilletjes geld over te maken.

  • Acties na het compromitteren: Aanvallers kunnen op de computer van het slachtoffer blijven, extra malware installeren, gegevens stelen of naar andere systemen overschakelen. Omdat het slachtoffer het gesprek heeft geïnitieerd, kan het zijn dat hij of zij zich er niet van bewust is dat er iets kwaadaardigs is gebeurd.

Gevolgen van callback-phishing

Callback-phishing kan ernstige gevolgen hebben. Zodra externe toegang is verleend, kunnen aanvallers het volgende doen:

  • Identiteitsdiefstal en financiële fraude:support kunnen criminelen bankgegevens inzien en stelen, overschrijvingen uitvoeren of leningen aanvragen. Netcraft merkt op dat criminelen gehackte SendGrid-accounts hebben gebruikt om phishingaanvallen uit te voeren waarbij ze zich voordeden als verschillende bedrijven, wat de omvang van dergelijk misbruik onderstreept. Nadat er toegang op afstand is verkregen, kunnen aanvallers het financiële dashboard van het slachtoffer manipuleren en gegevens exfiltreren.

  • Installatie van malware en ransomware: Slachtoffers worden misleid om trojans voor externe toegang te downloaden, die later worden gebruikt om ransomware te installeren. Aanvallers kunnen ook keyloggers of andere spyware installeren.

  • Netwerkcompromittering en laterale bewegingen: met toegang tot een endpoint kunnen criminelen zich lateraal binnen een organisatie verplaatsen, bedrijfsgegevens stelen of verdere phishing-e-mails versturen (laterale phishing).

Best practices en aanbevelingen

Om het risico van door SendGrid misbruikte callback-phishingaanvallen te beperken:

  • Controleer via officiële kanalen: Bel geen telefoonnummers die in ongevraagde e-mails worden vermeld. Als u een factuur of abonnementsbericht ontvangt dat verdacht lijkt, neem dan company contact op met het company via een nummer op hun officiële website of uw accountportaal.

  • Verleen nooit externe toegang aan onbekende bellers: Legitieme bedrijven zullen nooit om externe toegang vragen om terugbetalingen uit te voeren of abonnementen op te zeggen. Installeer nooitsupport , tenzij u zelf een support hebt ingediend bij een betrouwbare provider.

  • users informeren: Train medewerkers om factuurfraude te herkennen.

  • Meld en isoleer: Als u een poging tot callback-phishing vermoedt, meld de e-mail dan aan uw security en isoleer alle apparaten waaropsupport is geïnstalleerd. Controleer uw accounts op ongeoorloofde transacties en wijzig uw wachtwoorden.

  • Beveilig SendGrid-accounts: Organisaties die SendGrid gebruiken, moeten multifactorauthenticatie inschakelen, verzendactiviteiten controleren en gecompromitteerde API-sleutels intrekken. Netcraft waarschuwt dat criminelen gecompromitteerde SendGrid-accounts gebruiken om geauthenticeerde phishing-e-mails te versturen.

Laatste gedachten

De OpenAI-factuurzwendel laat zien hoe aanvallers gebruikmaken van legitieme cloud-e-maildiensten en spraakgebaseerde social engineering om security te omzeilen. Door een e-mail met een factuur als onderwerp te versturen via SendGrid, zorgden criminelen ervoor dat het bericht de SPF/DKIM/DMARC-controles doorstond en betrouwbaar overkwam. Door het ontbreken van kwaadaardige links kon de e-mail URL-filters omzeilen, terwijl de dringende oproep tot actie de ontvanger ertoe aanzette contact op te nemen met een oplichter, die vervolgens op afstand toegang tot het systeem probeerde te krijgen.

Callback-phishing maakt deel uit van een bredere trend waarbij aanvallers vertrouwde platforms ensupport als wapen gebruiken. Geavanceerde security, waakzaamheid, user en strenge verificatie via officiële kanalen blijven de meest effectieve verdedigingsmiddelen tegen deze zich ontwikkelende dreiging.

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Eén platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

De werkelijke kosten van phishingaanvallen

Ontdek de werkelijke kosten van phishingaanvallen en hoe moderne e- security bedreigingen security voordat ze uw bedrijf schaden.

Lees blogbericht

Zoom-phishingcampagne: hoe cybercriminelen SSA-waarschuwingen vervalsen en misbruik maken van ConnectWise ScreenConnect

Ontdek hoe aanvallers misbruik maakten van Zoom en ConnectWise ScreenConnect om valse SSA-waarschuwingen te versturen en users te misleiden users een geavanceerde phishingaanval.

Lees blogbericht

Van phishing tot ransomware: hoe Kaseya 365 User uw SaaS-apps beschermt

SaaS-applicaties, zoals Microsoft 365 en Google Workspace, ondersteunen bijna elk aspect van de digitale activiteiten van vandaag. Echter, aangezien bedrijvenMeer lezen

Lees blogbericht