Identiteitsaanvallen op bedrijfsaccounts groeien hard, met bijna 200% toename in het afgelopen jaar. Criminelen richten zich op het omzeilen van multi-factorauthenticatie (MFA), ook bij accounts van Microsoft, Google en Okta. De golf aan inbraken treft organisaties in Nederland en de rest van Europa, waar werk en data massaal in de cloud staan. Beveiligingsteams moeten hun inlogbeveiliging snel aanscherpen om misbruik te voorkomen.
Identiteitsaanvallen stijgen explosief
Aanvallers kiezen steeds vaker voor accounts in plaats van systemen. Ze proberen een identiteit te kapen en bewegen daarna vrij binnen cloudomgevingen als Microsoft 365, Google Workspace of AWS. De buit is waardevol: e-mail, documenten, financiële data en toegang tot SaaS-apps. Een enkel gekraakt account kan zo de hele keten raken.
De techniek verschuift naar diefstal van sessietokens en toestemming misbruik via OAuth. Een sessietoken is een digitale sleutel die laat zien dat je al bent ingelogd. Wie die sleutel steelt, kan MFA omzeilen zonder het wachtwoord. Dat maakt detectie lastiger en geeft aanvallers langer toegang.
De impact is voelbaar in Nederlandse sectoren met veel cloudgebruik, zoals overheid, zorg en mkb. Thuiswerken en BYOD vergroten het aanvalsoppervlak. Ook leveranciers en partners vormen een risico, omdat één gecompromitteerd account in de keten vaak genoeg is voor laterale beweging.
MFA-bypass wordt eenvoudiger
MFA vraagt om een extra stap naast het wachtwoord, zoals een app-melding of sms-code. Aanvallers misbruiken dit met zogeheten push-moeheid: zij sturen veel meldingen tot de gebruiker per ongeluk instemt. Sms is daarnaast kwetsbaar door sim-swapping en onderschepping. Zo valt een belangrijke verdedigingslaag weg.
Een tweede route is adversary-in-the-middle-phishing (AiTM). Daarbij zet de aanvaller een nep-inlogpagina op die het verkeer doorstuurt naar de echte dienst. Het systeem vangt daarna het sessietoken af en logt zelf in. Deze methode werkt ook als de gebruiker MFA correct gebruikt.
Info-stealer malware vormt een derde probleem. Deze software zoekt op het apparaat naar cookies, tokens en opgeslagen wachtwoorden. Wie even inlogt op een onveilig privé-apparaat kan zo onbedoeld bedrijfstoegang weggeven. Dit maakt scheiding tussen zakelijk en privé cruciaal.
Kies phishingbestendige methoden
Phishingbestendige MFA zoals FIDO2/WebAuthn en passkeys biedt betere bescherming. Hierbij bevestigt de gebruiker met een fysieke sleutel (bijvoorbeeld YubiKey) of een ingebouwde sleutel op telefoon of laptop. De sleutel is gebonden aan het domein en lekt niet via een phishingproxy. Dat maakt AiTM-aanvallen grotendeels kansloos.
Risicogebaseerde toegang voegt daar een dynamische laag aan toe. Diensten als Microsoft Entra ID Protection, Okta Adaptive MFA en Cisco Duo Risk-Based Authentication beoordelen per sessie locatie, apparaat en gedrag. Verdachte pogingen krijgen zwaardere checks of worden geblokkeerd. Zo stijgt de drempel zonder elke gebruiker te belasten.
Versterk dit met voorwaardelijke toegang, tokenbinding en device compliance. Tokenbinding koppelt sessies aan een specifiek apparaat, zodat gestolen tokens onbruikbaar zijn. Stel daarnaast korte tokenlevensduur in en herauthenticeer gevoelige acties. Dit beperkt de schade bij een enkel lek.
Regels dwingen sterker inloggen
De AVG verplicht passende technische en organisatorische maatregelen. Voor accounts met toegang tot persoonsgegevens betekent dat in de praktijk MFA, dataminimalisatie en versleuteling. Organisaties moeten kunnen aantonen dat keuzes passend zijn bij het risico. Een datalek door zwakke inlog kan leiden tot meldplichten en boetes.
NIS2 vereist op het moment van schrijven strengere beveiliging voor essentiële en belangrijke entiteiten in de EU. Toegangsbeheer, incidentmelding en supplychain-controles horen daarbij. In Nederland wordt dit via nationale wetgeving en toezicht uitgerold. MFA en segmentatie zijn daar kernonderdelen van.
In de financiële sector geldt sterke klantauthenticatie (PSD2 SCA) al langer. DORA is sinds 2025 van kracht en vraagt om stevige weerbaarheid van IT en derde partijen. Identity- en accessmanagement, inclusief testen en reporting, wordt daardoor een auditonderwerp. Dat versnelt de adoptie van phishingbestendige MFA.
AI scherpt phishing aan
Generatieve AI maakt phishing geloofwaardiger. Teksten zijn foutloos en stemmen qua toon overeen met eerdere e-mails. Ook deepfake stem kan helpdesks misleiden bij resetverzoeken. Deepfake stem is nagebootste spraak op basis van korte audiofragmenten.
Verdedigers zetten eveneens algoritmen in voor detectie van afwijkend gedrag. Denk aan het herkennen van ongewone inloglocaties, tijdstippen of massadownloads. Dat werkt goed, maar geeft soms valse meldingen. Heldere procedures en menselijk toezicht blijven nodig.
Bijna 200% meer identiteitsaanvallen in een jaar. MFA staat onder druk door AiTM-phishing, push-moeheid en tokendiefstal.
Aanpak voor Nederlandse organisaties
Begin met een inventaris van alle accounts, inclusief service- en partneraccounts. Beperk rechten volgens het least-privilege-principe en scheid beheeraccounts. Zet break-glass-accounts klaar met hardware-sleutels en streng toezicht. Zo blijft toegang mogelijk tijdens incidenten.
Verhoog de MFA-baseline. Schakel sms uit waar mogelijk en kies voor passkeys of beveiligingssleutels. Activeer nummerbevestiging in Microsoft Authenticator en blokkeer legacy-protocollen zoals IMAP en POP3. Stel waarschuwingen in voor nieuwe OAuth-toestemmingen.
Train medewerkers op moderne phishing en meldpaden. Voer realistische simulaties uit, inclusief AiTM-scenario’s. Oefen incidentrespons met IT, legal en communicatie. Meld ernstige cyberincidenten tijdig bij het Nationaal Cyber Security Centrum of het Digital Trust Center, afhankelijk van de sector.
