Afgelopen maand was Cyberlab aanwezig op DEF CON in Las Vegas. Hackers die nieuwe aanvalstechnieken live demonstreren. Onderzoekers die kwetsbaarheden onthullen in systemen die miljoenen mensen dagelijks gebruiken. Wie DEF CON bezoekt, krijgt een bak aan nieuwe kennis over zich heen gegooid!
De conferentie staat bekend om de mix van creatieve hacks, demos en vooral: waardevolle lessen voor securityprofessionals. Ook dit jaar stonden er weer veel nieuwe trends en technieken centraal. In dit artikel delen we een aantal opvallende onderwerpen die ons zijn bijgebleven:
1. AI verandert phishing in een razendsnelle aanvalsmachine
Van bedrijfsnaam naar aanval
Phishing bestaat al jaren. Maar met AI krijgt het een heel nieuw gezicht. Tijdens een presentatie liet een hacker zien hoe hij een complete keten had gebouwd. 1 druk op de knop is genoeg. Wat die keten precies doet? Nou, dit:
Zo werkt de keten
Het begint simpel: voer een bedrijfsnaam in. Vervolgens gaat de keten automatisch aan de slag. AI zoekt bedrijfsinformatie op, koopt geschikte domeinnamen, analyseert medewerkers en kijkt wie de zwakste schakel kan zijn. Gebruikersnamen en social media-profielen worden verzameld. En helemaal aan het eind rolt er een extreem gepersonaliseerde phishingmail uit.
De impact
Het hele proces duurt minder dan vijf minuten. Handmatig kost dit veel langer. Zelfs met losse AI-tools red je dat niet. Dit is de echte gamechanger: een aanval die vroeger alleen met veel voorbereiding en OSINT (Open Source Intelligence, oftewel vrij beschikbare informatie) mogelijk was, kan nu volledig geautomatiseerd. En: in bulk. Daarmee dalen de kosten voor een aanvaller drastisch, terwijl de effectiviteit juist stijgt.
De les
Traditionele security-awareness (let op taalfouten, check de afzender) volstaat niet meer. AI is een stuk minder slordig. Betere oplossingen zijn e-mailbeveiliging, detectie en procesafspraken.Â
Bent u benieuwd hoe uw collega’s reageren op de phishing-aanvallen van nu? Een Spearphishing Simulatie biedt waardevolle inzichten en verhoogt de security awareness binnen de organisatie.
Cyber security
- 12 aug, 2025
De stille Account Take-over: toegang lijkt legitiem, maar gedrag verraadt de aanvaller
Lees verder
2. Passkeys: sterker inloggen, maar nog steeds te misbruiken
Wat zijn passkeys?
Passkeys worden gepresenteerd als hét middel tegen phishing. Passkeys is net wat anders dan MFA zoals hij het vaakst voorkomt: met codes. Met passkeys typ je geen codes over, maar maak je via bluetooth verbinding tussen laptop en telefoon. Alleen als je telefoon in de buurt is, kun je inloggen. Dat maakt de klassieke phishingaanval via een valse inlogpagina kansloos. Hackers hebben het dus moeilijk met passkeys.
Creatieve aanvallen
Maar: op DEF CON bleek dat ook hier creatieve omwegen voor hackers bestaan. Denk aan het aanpassen van CSS op een Microsoft-loginpagina waardoor passkeys niet meer als optie aangeboden worden, en gebruikers alsnog een code moeten invoeren. En dat kun je wel phishen. Ook het toevoegen van een malafide passkey werd gedemonstreerd.
De les
Aanvallers blijven zoeken naar zwakke plekken, ook als iets bijna waterdicht lijkt. Bij passkeys ligt de uitdaging vooral in de fallback-methoden, zoals sms of herstelcodes. Die zijn vaak het zwakste punt in de keten. Helemaal schrappen is meestal niet haalbaar, bijvoorbeeld omdat je zonder fallback niet kunt inloggen op een apparaat zonder bluetooth. Organisaties doen er daarom goed aan deze opties zo beperkt mogelijk te gebruiken. Passkeys zijn een grote stap vooruit, maar vragen nog steeds om oplettendheid bij de eindgebruiker.
AI
- 1 jul, 2025
Hoe AI-gegenereerde code gevoelige data lekt: u heeft er ook mee te maken
Lees verder
3. Hackers misbruiken Zoom en Teams om hun verkeer te verbergen
Implant-malware
Aanvallers installeren implant-malware op een systeem om data te stelen of door een netwerk te bewegen. Normaal gesproken genereert dit verkeer dat door een blue team snel kan worden opgepikt met bijvoorbeeld een SIEM (Security Information & Event Management-systeem). Vaak gaat het om zoveel verkeer in één keer, dat SOC-analisten weten: er is iets aan de hand. Een SOC houdt de aanval dan dus buiten.
Verstoppen in normaal verkeer
De malware zelf draait zoals altijd, maar een nieuwe techniek laat het vervolgverkeer via een SOCKS-proxy vanuit de implant lopen over Zoom of Teams. Daardoor lijkt het alsof er een legitieme call actief is. Om het geloofwaardig te maken laat de aanvaller zo’n call een paar uur doorgaan, om hem daarna even pauzeren. Voor een SOC-analist oogt dit als normaal verkeer. Omdat Zoom en Teams vaak whitelisted zijn, verdwijnt kwaadaardig verkeer in de ruis van legitiem gebruik.
Nog geen oplossing
Het kwaadaardige verkeer rijdt als het ware mee in de drukte van de spits. Zoom en Teams zijn de volle snelwegen waar niemand opvalt. Wie zit er eigenlijk in die call? Worden audio en video gebruikt, of is het malafide verkeer? Het zou mooi zijn als security-teams antwoord kunnen krijgen op deze vragen. Maar: op het moment is dat niet mogelijk. Tenzij ze bereid zijn bij elke Teams-call de (thuis)kantoren van iedereen na te lopen om te zien wie er belt.
Nog veel meer kennis op DEF CON
DEF CON duurt meerdere dagen en staat vol met dit soort inzichten. Bovenstaande onderwerpen geven slechts een indruk van wat er allemaal gedeeld is. Wat voor ons duidelijk werd: technologie die bedoeld is om veiliger te maken, zoals AI, passkeys, collaboration tools en cloud, creëert tegelijkertijd nieuwe aanvalsvectoren.
Wie begrijpt hoe aanvallers deze technologieën misbruiken, kan betere maatregelen nemen. Daarom blijven we bij Cyberlab leren van de aanvallende kant, zodat we onze offensieve en defensieve diensten steeds kunnen aanscherpen tegen de nieuwste dreigingen.
Zelf een aanvalssimulatie laten uitvoeren?
Wilt u kijken of onze Ethical Hackers die op DEF CON 2025 waren bij uw netwerk binnen kunnen komen? Een pentest (ook wel een aanvalssimulatie) test praktijkgericht waar de kwetsbaarheden in uw digitale infrastructuur (of website/webapplicatie) liggen.
