Identiteitsaanvallen winnen snel terrein. Ze vormen niet alleen een directe dreiging voor gevoelige bedrijfsgegevens, maar dienen vaak ook als opstapje naar grootschalige cyberaanvallen. Nu medewerkers, opdrachtnemers en externe leveranciers vanaf verschillende locaties en apparaten toegang hebben tot bedrijfsnetwerken, neemt de kans op misbruik fors toe. Vorig jaar alleen al blokkeerde Microsoft gemiddeld 7.000 wachtwoordaanvallen per seconde, een onthutsend cijfer dat de schaal van identiteitsgerelateerde dreigingen onderstreept.
Cybercriminelen vertrouwen niet langer alleen op brute force-aanvallen, maar verfijnen voortdurend hun technieken. Ze zetten steeds vaker in op credential stuffing, geavanceerde social engineeringtechnieken en phishingcampagnes om toegang te krijgen tot legitieme, geautoriseerde identiteiten. Door zich voor te doen als een vertrouwde gebruiker kunnen aanvallers onopgemerkt netwerken doorzoeken, rechten uitbreiden en gevoelige bedrijfsinformatie buitmaken. De toegenomen inzet van cloudservices, werken op afstand en Bring Your Own Device (BYOD) maakt identiteitsbeveiliging complexer dan ooit. Voor organisaties is het dan ook essentieel om krachtige maatregelen te nemen ter bescherming van hun digitale identiteiten. Zonder sterke verdediging lopen ze het risico op zware financiële verliezen, reputatieschade en hoge boetes.
Deze blog zet de belangrijkste aanvalstechnieken uit het Microsoft Digital Defense Report 2024 op een rijtje en reikt direct toepasbare inzichten aan om je identiteitsbeveiliging te versterken.
Hoe Dreigingsactoren Reageren als Multifactorauthenticatie is Ingeschakeld
Microsoft Entra registreert dagelijks meer dan 600 miljoen identiteitsaanvallen, waarvan ruim 99% gericht is op wachtwoorden. Een duidelijk signaal dat inloggegevens nog altijd een geliefd doelwit zijn van cybercriminelen. Nu organisaties steeds meer vertrouwen op cloudservices en digitale platformen, is het beveiligen van je digitale identiteiten dé sleutel tot een veilige IT-omgeving. Eén gehackt account kan al voldoende zijn om toegang te krijgen tot interne systemen, gevoelige data buit te maken en bedrijfsprocessen te ontregelen.
Standaard beveiligingsconfiguraties en beleid voor voorwaardelijke toegang hebben geleid tot een bredere adoptie van multifactorauthenticatie (MFA). Inmiddels maakt 41% van de zakelijke Microsoft-klanten er gebruik van. Omdat MFA een groot deel van de wachtwoordaanvallen tegenhoudt, verleggen dreigingsactoren hun focus naar andere, zwakkere schakels in de toegangsketen.
1. Infrastructuuraanvallen
Infrastructuuraanvallen zijn geliefd bij zowel statelijke als criminele dreigingsactoren, omdat ze lastig te detecteren zijn voor organisaties zonder geavanceerde monitoring. Wie geen grip heeft op configuratiebeheer, AI-gestuurde dreigingsdetectie en loganalyse, loopt een verhoogd risico.
Zodra een aanvaller toegang krijgt tot de infrastructuur, kan die subtiele aanpassingen doorvoeren om langdurige toegang te behouden en onder de radar te blijven.
Voorbeeld:
Een aanvaller kan inloggegevens stelen en zich voordoen als een niet-menselijke identiteit, bijvoorbeeld een serviceaccount. Zo kan hij tijdelijk extra rechten toekennen en nieuwe inloggegevens aanmaken om toegang te krijgen tot data of deze zelfs over te nemen. Daarna wordt de identiteit weer in de oorspronkelijke staat hersteld, zodat de manipulatie onopgemerkt blijft.
Aanbevolen preventieve maatregelen:
- Zet in op geavanceerde, AI-gestuurde monitoring en detectie om afwijkend gedrag vroegtijdig te signaleren.
- Volg toegangs- en configuratiewijzigingen binnen je identiteitsinfrastructuur op de voet.
- Versterk de monitoring op apparaten en netwerken die cruciaal zijn voor de werking van je identiteitsinfrastructuur.
2. Authenticatie Omzeilen
Omdat MFA het overgrote deel van wachtwoordaanvallen weet tegen te houden, verleggen dreigingsactoren hun aandacht naar technieken als Adversary-in-the-Middle-phishing (AiTM) en tokendiefstal. Microsoft registreerde het afgelopen jaar een stijging van 146% in AiTM-phishingaanvallen, waarbij aanvallers gebruikers hebben misleid om op een link te klikken en namens de aanvaller MFA uit te voeren. Met AiTM-phishing kunnen aanvallers MFA-goedkeuring onderscheppen, en door tokens te stelen kunnen ze geverifieerde sessies overnemen en MFA volledig omzeilen.
Aanbevolen preventieve maatregelen:
- Vervang traditionele wachtwoorden door phishingbestendige, wachtwoordloze authenticatiemethoden zoals passkeys.
- Laat gebruikers standaard inloggen als een traditionele gebruiker eerder dan als een beheerder.
- Voorkom AiTM en tokendiefstal door beleid te implementeren dat sterke interactieve authenticatie afdwingt bij verdachte activiteit.
- Stel een toegangsbeleid in dat tokens extra beveiligt en de toegang vanuit niet-vertrouwde omgevingen blokkeert.
- Maak gebruik van applicaties die de toegang continu monitoren om verdachte acties sneller te detecteren en hier direct op te reageren.
3. Misbruik van Applicaties
Cybercriminelen maken misbruik van achtergelaten of slecht beheerde cloudapplicaties met overmatige rechten en zwakke inloggegevens om toegang te krijgen tot waardevolle resources.
Veel organisaties lopen inmiddels achter met het beveiligen van hun cloudapplicaties. Ontwikkelaars kennen tijdens het ontwikkelproces vaak te ruime rechten toe en verwerken inloggegevens rechtstreeks in de broncode om sneller te kunnen testen. Deze tijdelijke oplossing wordt echter zelden teruggedraaid voor de applicatie live gaat, waardoor de applicatie onnodig blootgesteld blijft aan beveiligingsriscio’s.
Uit onderzoek van Microsoft blijkt dat het afgelopen jaar slechts 2,6% van de verleende rechten aan workload-identiteiten daadwerkelijk werd gebruikt. Maar liefst 51% bleek volledig inactief.
Tussen januari en juni 2024 identificeerde Microsoft meer dan 1,5 miljoen onveilig opgeslagen inloggegevens, waaronder wachtwoorden en certificaten. Deze werden aangetroffen op plekken die toegankelijk zijn voor aanvallers, zoals broncoderepositories. Opvallend is dat 18% gevoelige gegevens bevatte.
Deze bevindingen benadrukken het belang van structurele beveiliging in de ontwikkelingsketen. Zo is het essentieel om gevoelige informatie nooit in de broncode op te nemen, testomgevingen goed af te schermen, applicaties enkel de minimaal benodigde rechten te geven en inactieve accounts en applicaties goed uit te faseren.
Aanbevolen preventieve maatregelen:
- Maak gebruik van beheerde service-identiteiten in plaats van door ontwikkelaars gedeelde inloggegevens.
- Wijs rechten zorgvuldig toe, zodat alle identiteiten, inclusief workloadidentiteiten, uitsluitend toegang krijgen tot strikt noodzakelijke systemen, data en functionaliteiten.
- Beveilig testomgevingen en schakel ongebruikte applicaties en accounts tijdig uit.
Veelvoorkomende Social Engineering-technieken
Social engineering blijft een hardnekkige dreiging, en technologie alleen biedt geen afdoende bescherming. Het is daarom cruciaal om zowel helpdeskmedewerkers als eindgebruikers goed te trainen zodat ze niet ten prooi vallen aan misleiding en manipulatie.
Om je op weg te helpen, zetten we de tactieken die Microsoft het vaakst voorbij ziet komen op een rijtje.
1. Phishing in Teams en Skype
De afgelopen jaren is het aantal phishingtechnieken sterk toegenomen, met nieuwe varianten die onder meer gebruik maken van QR-codes en samenwerkingsplatforms als Teams en Skype. Microsoft signaleert daarnaast dat cybercriminelen steeds vaker eerder gecompromitteerde tenants gebruiken om nieuwe onmicrosoft.com-tenants aan te maken, vaak met ingestelde opties voor technische ondersteuning. Deze kwaadwillende tenants worden vervolgens ingezet om schadelijke bestanden, links en verzoeken te verspreiden, met als doel gebruikersgegevens buit te maken of MFA-goedkeuring af te dwingen.
Aanbevolen preventieve maatregelen:
- Maak gebruikers bewust van phishingrisico’s en organiseer simulatietrainingen.
- Beperk externe communicatie door samenwerking alleen toe te staan met bekende en vertrouwde tenants, bijvoorbeeld via “Veilige koppelingen” van Microsoft Teams.
- Zet Microsoft Defender voor Office 365 of vergelijkbare tools in om schadelijke berichten, bestanden en links te detecteren en blokkeren.
- Stel waarschuwingen in voor afwijkend gedrag, zoals voor meerdere mislukte inlogpogingen of aanmeldingen vanaf ongebruikelijke locaties.
- Werk Teams, Skype en andere samenwerkingstools regelmatig bij om beveiligingslekken te voorkomen.
- Zorg dat alle endpoints voorzien zijn van actuele beveiliging om malware en phishingpogingen te blokkeren.
2. SIM-swapping
Nu steeds meer organisaties MFA inzetten, zoeken cybercriminelen naar alternatieve methoden om zich als legitieme gebruiker voor te doen. Eén van de technieken die daardoor terrein wint is SIM-swapping – een methode die onder meer door groepen als Octo Tempest wordt ingezet. Het principe van SIM-swapping is eenvoudig maar effectief. De aanvaller laat het telefoonnummer van het slachtoffer overzetten naar zijn eigen apparaat. Hiervoor verzamelt de aanvaller eerst persoonlijke informatie over het doelwit om beveiligingsvragen te kunnen beantwoorden en toegang te krijgen tot het account.
Zodra de aanvaller de simkaart heeft overgenomen, kan hij MFA-codes en eenmalige wachtwoorden onderscheppen en zo toegang krijgen tot de accounts van het slachtoffer. Om dit soort aanvallen te voorkomen, is sterke operationele beveiliging onmisbaar. Werknemers moeten daarom regelmatig hun online aanwezigheid controleren en risicovolle, publiek toegankelijke informatie verwijderen.
Aanbevolen preventieve maatregelen:
- Beveilig telefoonaccounts met een pincode of wachtwoord.
- Schakel waarschuwingen in voor het aanbrengen van wijzigingen aan telefoonaccounts, zoals het overzetten van de simkaart.
- Pas het principe van ‘least privilege’ toe zodat medewerkers, systemen en externe partijen alleen toegang hebben tot gevoelige gegevens wanneer dat strikt noodzakelijk is.
3. Social Engineering bij Helpdesks
Microsoft ziet een duidelijke toename in cyberaanvallen waarbij cybercriminelen zich richten op helpdesks. Ze doen zich voor als legitieme gebruikers die bijvoorbeeld een wachtwoordreset aanvragen of een nieuw MFA-apparaat willen registreren. Bij meer dan de helft van alle Microsoft Incident Response-cases die het afgelopen jaar aan Octo Tempest werden toegeschreven, ging het om social engineering via helpdesks. Als reactie hierop hebben veel helpdesks aanvullende verificatiemaatregelen ingevoerd, zoals verplichte videogesprekken.
Toch biedt ook dat geen garantie. Met de opkomst van deepfake-technologie kunnen aanvallers inmiddels stemmen en gezichten overtuigend nabootsen in beeld en geluid, waardoor zelfs deze geavanceerde vormen van identiteitscontrole onder druk komen te staan.
Microsoft constateerde ook dat octo Tempest en vergelijkbare dreigingsactoren rechtstreeks contact zochten met leidinggevenden en andere sleutelpersonen binnen organisaties die betrokken waren bij lopende onderzoeken. Aanvallers gebruiken deze persoonlijke benadering vaak als onderdeel van een afpersingscampagne, met als doel het verkrijgen van vertrouwelijke inloggegevens. Bij dergelijke campagnes zetten aanvallers hun slachtoffers extra onder druk met dreigende sms-berichten en eisen tot betaling.
Aanbevolen preventieve maatregelen:
- Stap over op wachtwoordloze authenticatie, MFA alleen biedt onvoldoende bescherming.
- Implementeer phishingbestendige MFA, voornamelijk voor beheerders.
- Herzie en versterk de procedures voor het resetten van wachtwoorden door helpdeskmedewerkers.
- Organiseer regelmatig trainingen en simulaties om je medewerkers voor te bereiden op social engineering-aanvallen.
- Evalueer zorgvuldig de beveiliging van leveranciers van simkaarten en helpdeskdiensten.
4. Phishing via AiTM
Microsoft signaleert nog altijd grote hoeveelheden phishingaanvallen waarbij AiTM-technieken worden ingezet. Veel van deze aanvallen worden uitgevoerd via zogeheten phishing-as-a-serviceplatforms (PhaaS). Deze campagnes draaien continu en zorgen maandelijks voor tientallen tot honderden miljoenen phishingmails. In 2024 behoorden Caffeine, Tycoon, Greatness, NakedPages en Dadsec tot de vijf meest gebruikte PhaaS-kits.
Hoewel de gebruikte platformen in 2023 en 2024 grotendeels hetzelfde zijn gebleven, zijn er wel enkele opvallende verschuivingen zichtbaar.
- Eind 2023 verdween Dadsec uit beeld bij Microsoft. In januari 2024 doopte operator Storm-1575 de dienst om tot Rockstar2FA, waarna de activiteiten werden hervat met nieuwe phishingtechnieken en communicatiekanalen.
- In mei 2024 beëindigde Storm-1101 de phishingdienst NakedPages. Volgens eigen zeggen deelde hij de broncode met voormalige medewerkers. Minstens één van hen is inmiddels gestart met een nieuwe phishingservice, gebaseerd op diezelfde code.
- Caffeine werd in januari 2024 omgedoopt tot ONNX. De dienst kreeg nieuwe communicatiekanalen en introduceerde een functie waarmee klanten hun eigen domein kunnen gebruiken — wat detectie bemoeilijkt. In mei stootte Tycoon ONNX van de troon als grootste verspreider van phishingmails. Een maand later trok operator Storm-0867 zich plots terug, nadat Dark Atlas zijn identiteit onthulde in een blogpost.
Phishingactoren blijven vertrouwen op HTML- en PDF-bijlagen om detectie te omzeilen en schadelijke content af te leveren:
- HTML-bijlagen: Deze bestanden bevatten vaak URL’s die slachtoffers omleiden naar phishingpagina’s of code die phishingcontent downloadt wanneer de bijlage wordt geopend. De HTML-bestanden zitten vaak verborgen in zipbestanden, Microsoft Office-documenten of gelaagde e-mailbijlagen.
- PDF-bijlagen: Deze bijlagen bevatten vaak URL’s die leiden naar phishingpagina’s. Soms via een reeks omleidingen of Captcha-controles, maar soms ook direct naar een kwaadaardig domein. Net als HTML-bestanden worden PDF’s regelmatig ingesloten in andere bestandstypen of gehost op legitieme filesharingplatforms, waar vanuit de phishingmail naar wordt gelinkt.
De snelle evolutie van phishingtechnieken en -platforms onderstreept hoe geraffineerd deze aanvallen zijn geworden, en hoe complex het is geworden om ze tijdig te detecteren en te stoppen.
Aanbevolen preventieve maatregelen:
- Plaats e-mails met verdachte HTML- of PDF-bijlagen automatisch in quarantaine of markeer ze als verdacht.
- Gebruik real-time URL-scans om kwaadaardige links en phishingpagina’s snel te detecteren.
- Schakel phishingbestendige MFA-methoden in, zoals FIDO2.
- Monitor de activiteiten van bekende PhaaS-kits (bijv. ONNX, Tycoon) en stem je verdedigingsmechanismen hierop af.
- Voer regelmatig gesimuleerde phishingcampagnes uit om werknemers te trainen in het herkennen en melden van phishingpogingen.
- Beperk het afleveren van risicovolle bestandstypen (bijv. HTML en PDF in zipbestanden) in e-mails of scan ze grondig voordat gebruikers ze kunnen openen.
- Blokkeer de toegang tot bekende schadelijke domeinen met webproxy- of DNS-filters.
- Test je weerbaarheid tegen AiTM- en PhaaS-tactieken via regelmatige emulatie-oefeningen.
- Werk software regelmatig bij, met name e-mailsystemen en webbrowsers, om misbruik van kwetsbaarheden in phishingcampagnes te voorkomen.
Versterk je Verdediging tegen Identiteitsaanvallen
Hoe Blaud Kan helpen
Blaud is specialist in identiteitsbeheer en helpt organisaties hun kritieke bedrijfsmiddelen optimaal te beveiligen. Met onze uitgebreide identiteitsservices zorgen we ervoor dat je gebruikersidentiteiten zijn afgeschermd.
Neem vandaag nog contact met ons op via onderstaand formulier én ontdek hoe we jouw organisatie kunnen beschermen tegen identiteitsaanvallen.
Bron: Microsoft Digital Defense Report 2024