Alles lijkt op orde, alles lijkt veilig. Maar intussen loopt een onbekende gewoon langs de beveiliging naar binnen, met een legitieme toegangspas in de hand. Niet alle aanvallers hoeven een deur open te breken: zolang ze aan accountgegevens komen, kunnen ze gewoon binnenwandelen.
Account Take-overs zijn iets makkelijker geworden voor de aanvallers. Dus goed om te controleren of u alles nog volgens de meest actuele best practices doet! In dit artikel alles over hoe de Account Take-over er in 2025 uit ziet.
Inloggegevens voor het oprapen
Account Take-overs voorkomen is al jaren een vast onderdeel van informatiebeveiliging. Uit het Verizon DBIR 2024 blijkt dat 77% van de aanvallen op webapplicaties draait om gestolen inloggegevens. Aanvallers slaan de technische uitdaging als het kan graag over en kiezen voor de makkelijkste weg: toegang verkrijgen met gelekte of gekochte gegevens.
Miljarden credentials zwerven online rond, een van de meest gebruikte aanvalspaden. Wachtwoorden, geheime vragen, sessietokens: allemaal te koop. En met de juiste toolkit erbij hoeft een aanvaller niet technisch onderlegd te zijn. Een muisklik is genoeg.
Social engineering & sessiekaping: belangrijke hoofdingangen
De drempel om aan credentials te komen ligt laag in 2025. Zelfs minder geavanceerde aanvallers kunnen misbruik maken van deze toegang. En lukt het niet met de data die te koop is? Dan zijn social engineering zoals phishing of sessiekaping ook een optie.
De menselijke factor blijft kwetsbaar. Phishing wordt realistischer, stemklonen overtuigender, en deepfakes vormen een reëel risico. AI tilt social engineering naar een nieuw niveau.
Security awareness moet verder gaan dan jaarlijkse e-learnings. Oefen met op maat gemaakte scenario’s. Bijvoorbeeld met een spearphishing-simulatie.
AI
- 1 jul, 2025
Hoe AI-gegenereerde code gevoelige data lekt: u heeft er ook mee te maken
Lees verder
MFA helpt, maar niet altijd
MFA blijft belangrijk. Maar het is goed ervan uit te gaan dat het geen garantie is. Dat heeft alles te maken met de mens die het moet gebruiken. Denk aan push fatigue (push-moeheid), phishingkits die hele sessies overnemen, of gestolen tokens die direct toegang geven. CrowdStrike schreef begin dit jaar nog over voorbeelden waarin sessietokens MFA effectief omzeilen.
Zonder inzicht in context en gedrag biedt MFA slechts een deel van het antwoord. Het is een stevige voordeur. Maar geen alarm bij vreemd gedrag. Precies daar ligt dan ook de rest van de oplossing: gedrag herkennen.
Hoe werkt sessiekaping dan?
Aanvallers kunnen sessietokens buitmaken via malware of infostealers zoals RedLine of Lumma. Deze tools speuren naar opgeslagen sessiegegevens in browsers, bijvoorbeeld van Office 365. Met zo’n token kunnen ze inloggen zonder opnieuw MFA te hoeven doorlopen. De sessie wordt eenvoudigweg nagebootst, waardoor toegang lijkt alsof die legitiem is.
Ook man-in-the-middle-aanvallen worden gebruikt. Hierbij denkt een gebruiker op een echte loginpagina in te loggen, terwijl de aanvaller live meekijkt en de token direct overneemt. De beveiliging is dan al gepasseerd voordat iemand het doorheeft.
Eén account, tientallen ingangen
Laten we meteen kijken naar wat een aanvaller kan als die de MFA omzeild heeft. Want: door Single Sign On bieden sommige moderne omgevingen met een enkele login toegang tot meerdere systemen.
Dat betekent dat een succesvolle account take-over met wat pech leidt tot brede toegang: cloudomgevingen, HR-systemen, financiële tools, SaaS-apps en soms zelfs beheerrechten. Structurele toegang tot allerlei hoeken van het netwerk, zonder daadwerkelijke noodzaak, vergroot het aanvalsoppervlak.
Voor een aanvaller kan in zo’n geval één Account Take-over al vrij spel betekenen.
Cyber security
- 25 feb, 2025
Plannen alleen stoppen geen cyberaanval: van inzicht naar actie
Lees verder
Gedrag verraadt de indringer
De essentie van moderne detectie is gedragsanalyse. Door te kijken naar het gedrag van iedereen die inlogt, is het mogelijk op tijd in te grijpen bij een Account Take-over.
De toegang van een aanvaller kan misschien op dat van een echte medewerker lijken, want ja: ze hebben de juiste inloggegevens. Hun gedrag zegt vaak wat anders. Die wijkt af van een normale gebruiker.
Aanvallers laten sporen na. Ze loggen in op gekke tijden. Proberen toegang te krijgen tot systemen die ze nooit eerder gebruikten. Veranderen instellingen. Of downloaden in bulk en doen configuratiewijzigingen.
Dat soort gedrag is allemaal een rode vlag.
Zonder inzicht in sessie- en gedragsdata blijven deze signalen onopgemerkt. Een SOC helpt met het in de gaten houden van gedrag. Is iets verdacht? Dan trekken SOC-analisten op tijd aan de bel. Vaak nog voordat de aanvaller schade aan kan richten.
Identiteit als nieuwe perimeter
In een hybride en cloud-first werkwereld is identiteit de nieuwe grensmuur. Gebruikers wisselen continu van locatie, apparaat en netwerk. Authenticatie moet daarom altijd contextueel en adaptief zijn.
Identity & Access Management maakt toegangsbeheer dynamisch door tijdelijke rechten, just-in-time toegang en contextuele controles. Toegang wordt real-time en context‑afhankelijk geregeld op basis van onder andere gedragsanalyse, apparaatstatus en IP‑locatie: volledig passend binnen een Zero-Trust strategie.
- Koppel sessies aan vertrouwde apparaten.
- Detecteer afwijkend gedrag tijdens sessies.
- Reageer automatisch bij risico-indicatoren zoals privilege escalation of ongewone activiteitspatronen. Dynamisch toegangsbeheer op basis van risico.
- Minimale en tijdelijke rechten.
- Integratie van sessie-, gedrags- en contextdata voor realtime beslissingen.
Gelaagde beveiliging als standaard
Security is pas effectief als het zich aanpast aan dynamiek. Toegang moet niet alleen verleend, maar continu beoordeeld worden. De combinatie van monitoring met een SOC, tijdelijke rechten, gedragsevaluatie en sessiebeheer: gelaagde beveiliging levert de meeste zekerheid op.
Kijk vandaag nog kritisch naar uw toegangsstrategie. Hoe goed zou uw organisatie een stille account take-over herkennen? En belangrijker nog: hoe snel kunt u ingrijpen?
Met een expert verder praten over dit onderwerp? Of heeft u andere cyber security vragen? Neem dan vrijblijvend contact met ons op.
