Na een succesvolle phishing-aanval denken veel organisaties dat het snel resetten van een wachtwoord voldoende is. Niets is minder waar. Aanvallers hebben slechts zeven seconden nodig om na een succesvolle aanval permanente toegang te creëren tot meerdere bedrijfssystemen.
Onlangs zaten we bij Techzine om de tafel met ethical hackers Rutger Flohil en Bob van der Staak. Zij deelden hun expertise over moderne aanvalstechnieken en hoe organisaties zich daartegen kunnen beschermen. Ook werkt het duo als redteamers, waarbij ze aanvalssimulaties uitvoeren om organisaties te testen.
“Het is onwaarschijnlijk dat iemand snel genoeg kan bellen,” stelt Flohil. Zelfs als een medewerker direct na het invullen van inloggegevens doorheeft dat er iets mis is en alarm slaat, is de schade al aangericht. “Een account wordt misschien meteen gelockt, maar dat betekent niet dat het daar stopt.”
Adversary-in-the-Middle: de techniek achter de snelheid
Het probleem zit hem namelijk in de combinatie van een geavanceerde aanvalstechniek en geautomatiseerde processen. Bij een zogenaamde Adversary-in-the-Middle (AitM) aanval bouwen aanvallers een website die zich voordoet als een legitiem platform zoals Microsoft. Alle inlogpogingen worden via deze nepsite doorgesluisd naar de echte Microsoft-inlogpagina.
Het slachtoffer ziet op de nepwebsite daadwerkelijk het inlogportaal van Microsoft en als er wordt ingelogd, wordt die informatie doorgestuurd naar de webapplicatie van Microsoft zelf. Ook multifactorauthenticatie (MFA) wordt doorgesluisd – het slachtoffer krijgt gewoon de pushnotificatie op de telefoon en denkt dat alles normaal verloopt.
Het cruciale verschil: de aanvallers zitten ertussen en onderscheppen de volledige sessie, inclusief alle authenticatietokens. Zodra het slachtoffer succesvol is ingelogd en de MFA heeft goedgekeurd, hebben de aanvallers een volledig geldige Microsoft-sessie in handen. Vanaf dat moment is het een kwestie van een script draaien dat razendsnel meerdere kwaadwillende acties uitvoert.
Wat gebeurt er in die zeven seconden?
Van der Staak legt uit wat er precies gebeurt in die cruciale eerste momenten: “We hebben zelf gesimuleerd dat we inderdaad een phishingcampagne hebben gedaan. Wanneer iemand dan eventueel op het werk heeft ingelogd op ons platform, dan krijgen wij die sessie terug. En dan hadden we eigenlijk in zeven seconden persistentie gecreëerd op meerdere platforms.”
Concreet betekent dit dat er binnen die zeven seconden meerdere ‘achterdeurtjes’ worden gecreëerd: Daarbij werden SSH-keys aangemaakt in platforms zoals Azure DevOps, waarmee aanvallers zich later als die gebruiker konden voordoen. Ook werden er Personal Access Tokens (PATs) gegenereerd. Die codes werken vaak heel lang en ook na een wachtwoordreset, zodat je ze ook een tijd na een aanval nog kunt gebruiken om in te loggen. In onze eerder gepubliceerde blog werd het ook al uitgelicht: Outlook-regels. Daardoor worden waarschuwingsmails bijvoorbeeld direct gearchiveerd, zodat deze niet zichtbaar zijn voor de gebruiker.
Andere zaken die binnen enkele seconden al verwerkt zijn, zijn toegang tot code-platforms en het feit dat er een laterale beweging naar andere systemen wordt mogelijk gemaakt. Zo kan een persoon zich onopgemerkt door verschillende systemen of accounts bewegen om gevoelige gegevens te vinden en misbruiken.
Lees ook: Wat is een goed wachtwoordbeleid anno 2026?
Herstelproces is veel complexer dan een wachtwoordreset
De vraag die zich opdringt is, wat moet er dan wel gebeuren na een geslaagde phishing-aanval? Volgens de experts is een simpele wachtwoordreset volstrekt onvoldoende. Het herstelproces moet onder andere bestaan uit het onmiddellijk isoleren van het apparaat en account. Vervolgens is het tijd om onderzoek te doen. Wat is er allemaal gedaan en uitgevoerd met het gecompromitteerde account tussen het moment van inloggen en detectie.
Ook moet er worden nagegaan welke platformen er bezocht zijn en SSH-keys, PATs, Outlook-regels en andere achterdeurtjes moeten worden opgespoord en verwijderd. Vervolgens kan er nog gecontroleerd worden of er code, documenten of andere gevoelige informatie is gedownload.
Phishing blijft de nummer één aanvalsvector
Ondanks alle technologische vooruitgang en beveiligingsmaatregelen, blijft phishing de meest voorkomende manier voor cybercriminelen om binnen te komen bij organisaties. Recent Europees onderzoek uit december toont aan dat ongeveer 60 procent van alle succesvolle aanvallen begint met phishing.
De reden is simpel. De combinatie van geavanceerde social engineering, Adversary-in-the-Middle technieken die zelfs MFA omzeilen, en geautomatiseerde post-exploitation tools maakt het extreem effectief. Dat is zelfs het geval bij technisch onderlegde medewerkers.
Flohil en van der Staak benadrukken dat hun red team-operaties altijd beginnen met een grondig open source intelligence (OSINT) onderzoek. “Je kan heel veel informatie over bedrijven en over mensen vinden op het internet zonder bij een bedrijf te werken,” legt Flohil uit. Via platforms zoals LinkedIn kun je informatie verzamelen over bijvoorbeeld aankomende evenementen die het bedrijf organiseert, maar ook van alles vinden over lopende projecten en initiatieven.
Andere interessante informatie kan gaan over relevante wetswijzigingen in de sector en ook kan er gedacht worden aan het opzoeken van specifieke functierollen en verantwoordelijkheden. “Daarmee kunnen we campagnes opstellen die op de persoon of op de functie gericht zijn,” vertelt Flohil. “We sturen vervolgens een gerichte, mooie, realistische e-mail op een logisch tijdstip.”
Odido-hack was resultaat van phishing: mens is zwakke schakel
De menselijke factor blijft cruciaal
Een belangrijk aspect van red teaming is volgens beide experts de juiste balans vinden tussen het testen van beveiliging en het opleiden van medewerkers. Als iemand op een link heeft geklikt, moet de boodschap zijn dat het niet per se erg is. Het is natuurlijk vervelend, maar als het beleid goed is, moet dat gewoon gemeld kunnen worden. Slim is het ook, om feedback op team- of afdelingsniveau en dus niet individueel.
Het ‘7 seconden verhaal’ maakt pijnlijk duidelijk dat moderne cyberaanvallen razendsnel verlopen en dat traditionele herstelmaatregelen vaak te laat en te beperkt zijn. Organisaties moeten zich realiseren dat preventie belangrijker is dan reactie. Investeren in awareness-trainingen en technische maatregelen is voor bedrijven een must.
MFA is geen wondermiddel meer, want dankzij Adversary-in-the-Middle-aanvallen wordt zelfs tweefactorauthenticatie omzeild doordat de volledige sessie inclusief MFA-goedkeuring wordt onderschept. Snelheid is essentieel, want hoe sneller een incident wordt gedetecteerd en gemeld, hoe beter dat is. Herstel van zo’n aanval is complex en een wachtwoordreset is bij lange na niet genoeg. Ook is voorbereiding cruciaal en alle organisaties moeten een duidelijk incident response plan hebben voor als er daadwerkelijk wat gebeurt.
Voor bedrijven betekent dit dat red teaming en phishing-simulaties geen luxe zijn, maar een noodzakelijke investering om de weerbaarheid tegen moderne cyberaanvallen te vergroten. Want zoals Flohil en van der Staak aantonen: als de aanval eenmaal succesvol is, telt elke seconde.