Adversarial phishing, ook bekend als Adversary-in-the-Middle (AiTM) phishing, is een geavanceerde aanvalsmethode waarbij cybercriminelen zich in realtime tussen jou en een legitieme website plaatsen. Ze onderscheppen niet alleen je inloggegevens, maar ook je sessiecookies, waardoor ze toegang krijgen tot je account, zelfs als je Multi-Factor Authenticatie (MFA) hebt ingeschakeld. Dit maakt AiTM phishing fundamenteel gevaarlijker dan traditionele phishingaanvallen.
Gewone MFA beschermt je niet meer zo goed als je denkt
Veel MKB-bedrijven investeren in MFA en ademen daarna opgelucht uit. Maar AiTM phishing omzeilt standaard MFA volledig door sessiecookies te stelen nadat jij al succesvol bent ingelogd. Dat betekent dat de aanvaller toegang heeft tot jouw Microsoft 365-omgeving, e-mail of bedrijfssystemen, terwijl jij denkt dat je beveiligd bent. De schade is dan al aangericht voordat iemand het doorheeft. Het antwoord ligt niet in het afschaffen van MFA, maar in het kiezen van phishing-resistente MFA-methoden en het toevoegen van extra detectielagen die verdachte sessies herkennen.
Phishing herkennen is moeilijker geworden dan de meeste medewerkers beseffen
Vroeger kon je een phishingmail herkennen aan spelfouten en verdachte afzenders. AiTM-aanvallen gebruiken echter echte, legitieme websites als proxy, waardoor de URL en het uiterlijk van de inlogpagina identiek zijn aan het origineel. Medewerkers die denken dat ze phishing herkennen, zijn bij deze aanvalsvorm extra kwetsbaar, juist omdat hun gebruikelijke controlemethoden niet werken. De oplossing zit in bewustzijnstraining die verder gaat dan visuele herkenning, gecombineerd met technische maatregelen die niet afhankelijk zijn van menselijk oordeel.
Wat is adversarial phishing en hoe verschilt het van gewone phishing?
Adversarial phishing is een aanvalsmethode waarbij een aanvaller als tussenpersoon optreedt tussen jou en een echte website. In tegenstelling tot gewone phishing, waarbij een neppagina je wachtwoord steelt, werkt AiTM in realtime: de aanvaller geeft jouw inloggegevens door aan de echte site en onderschept ondertussen de sessiecookie die je browser ontvangt na een succesvolle login.
Bij gewone phishing stuurt een aanvaller je naar een nagemaakte pagina die eruitziet als een echte inlogpagina. Als je je gegevens invoert, zijn die gestolen. Dat is al gevaarlijk, maar het werkt niet als je MFA hebt ingeschakeld, omdat de aanvaller jouw eenmalige code niet op tijd kan gebruiken.
AiTM lost dit probleem op voor de aanvaller. De proxy-server van de aanvaller staat tussen jou en de echte website. Jij logt in, inclusief je MFA-code, en de aanvaller stuurt alles in realtime door naar de echte server. Na een succesvolle login ontvangt jouw browser een sessiecookie. Die cookie onderschept de aanvaller en gebruikt die vervolgens om zelf in te loggen, zonder dat jij dat merkt. Jouw sessie is als het ware gekaapt.
Hoe verschilt AiTM phishing van credential harvesting?
Credential harvesting richt zich op het stelen van gebruikersnamen en wachtwoorden via nepformulieren. AiTM gaat verder: het onderschept actieve sessies. Dat maakt AiTM effectief, zelfs als je sterke wachtwoorden en standaard MFA gebruikt, want de aanvaller hoeft helemaal niet je wachtwoord te weten. Een geldige sessiecookie is genoeg.
Hoe werkt een adversarial phishing aanval technisch gezien?
Een AiTM-aanval werkt via een proxy-server die alle communicatie tussen jou en de echte website in realtime doorgeeft. De aanvaller plaatst een reverse proxy tussen jouw browser en de doelwebsite. Jij ziet een URL die op de echte lijkt, logt in met je MFA-code, en de proxy stuurt alles door. Na login onderschept de proxy de sessiecookie en gebruikt die om namens jou in te loggen.
Technisch gezien verloopt een AiTM-aanval in een aantal stappen:
- Je ontvangt een phishingmail of bericht via WhatsApp met een link naar een ogenschijnlijk legitieme inlogpagina.
- De URL wijst naar een reverse proxy die de aanvaller beheert, niet naar de echte website.
- De proxy haalt de echte inlogpagina op en toont die aan jou, inclusief het juiste logo, de juiste kleuren en een geldig SSL-certificaat.
- Jij voert je gebruikersnaam, wachtwoord en MFA-code in.
- De proxy stuurt deze gegevens in realtime door naar de echte server en ontvangt de sessiecookie terug.
- De aanvaller kopieert die sessiecookie naar zijn eigen browser en heeft nu volledige toegang tot jouw account, zonder verdere verificatie.
Tools zoals Evilginx2 en Modlishka maken het opzetten van een dergelijke proxy relatief eenvoudig voor aanvallers. Dit betekent dat de technische drempel voor AiTM-aanvallen lager is dan veel organisaties vermoeden.
Waarom omzeilt adversarial phishing gewone MFA-beveiliging?
Standaard MFA verifieert wie jij bent op het moment van inloggen. Maar AiTM phishing richt zich niet op het inlogproces zelf. De aanvaller laat jou gewoon inloggen, inclusief MFA, en steelt daarna de sessiecookie die je browser ontvangt. Die cookie bewijst aan de server dat je al bent ingelogd, waardoor MFA niet opnieuw wordt gevraagd.
De meeste MFA-methoden, zoals sms-codes, authenticator-apps en e-mailcodes, beschermen het inlogmoment. Ze controleren niet of de sessie daarna nog steeds door jou wordt gebruikt. Zodra een sessiecookie is aangemaakt, vertrouwt de server erop dat de houder van die cookie al is geverifieerd.
Dit is geen fout in MFA als concept, maar een beperking van hoe sessies werken in webbrowsers. De cookie is de sleutel, en AiTM steelt die sleutel terwijl jij de deur opendoet. Standaard MFA bewaakt de deur, maar niet de sleutel die daarna wordt afgegeven.
Welke MFA-methoden zijn wél bestand tegen adversarial phishing?
Phishing-resistente MFA-methoden zijn bestand tegen AiTM omdat ze de identiteit van de website koppelen aan de verificatie zelf. FIDO2-beveiligingssleutels en passkeys zijn de sterkste opties. Ze gebruiken cryptografie die is gebonden aan het domein van de echte website, waardoor een proxy-aanval automatisch mislukt. De verificatie werkt simpelweg niet op een nep- of proxy-domein.
Er zijn drie categorieën MFA, gerangschikt op weerstand tegen AiTM:
- Phishing-resistent (sterk): FIDO2-beveiligingssleutels zoals YubiKey, Windows Hello for Business, en passkeys. Deze koppelen de verificatie aan het exacte domein en zijn niet overdraagbaar naar een ander domein.
- Gedeeltelijk kwetsbaar: Authenticator-apps met TOTP-codes, Microsoft Authenticator push-meldingen. Deze beschermen tegen gewone phishing, maar niet tegen AiTM, omdat de code in realtime kan worden doorgestuurd.
- Zwakst: Sms-codes en e-mailcodes. Kwetsbaar voor zowel gewone phishing als AiTM, en ook voor SIM-swapping.
Wij adviseren MKB-organisaties om te kijken naar FIDO2-oplossingen of naar Cisco Duo met phishing-resistente verificatieopties. Cisco Duo biedt configuratiemogelijkheden die aanmeldingen kunnen blokkeren wanneer het domein niet overeenkomt met het verwachte domein, wat AiTM-aanvallen effectief tegenhoudt.
Welke sectoren en bedrijven zijn het meest kwetsbaar voor AiTM phishing?
Organisaties die werken met Microsoft 365, cloudgebaseerde financiële systemen of externe toegang via VPN zijn het meest kwetsbaar. AiTM-aanvallen richten zich op omgevingen waar sessiecookies veel toegang geven, zoals e-mail, ERP-systemen en clouddiensten. Bedrijven met veel externe medewerkers of partners die via e-mail communiceren, lopen extra risico.
Uit onderzoek naar identiteitsgebaseerde aanvallen blijkt dat Business Email Compromise (BEC) bij meer dan de helft van de onderzochte organisaties voorkomt. AiTM is een van de meest gebruikte technieken om BEC mogelijk te maken, omdat de aanvaller na het stelen van een sessiecookie directe toegang heeft tot de e-mailomgeving en betalingsopdrachten of facturen kan onderscheppen of aanpassen.
Sectoren die bijzonder aantrekkelijk zijn voor aanvallers:
- Professionele dienstverlening (advocaten, accountants, consultants): Hoge waarde van e-mailcommunicatie en betalingstransacties.
- Financiële dienstverlening: Directe toegang tot betalingssystemen en klantgegevens.
- Logistiek en handel: Complexe leveranciersketens met veel e-mailverkeer over facturen en betalingen.
- Zorg en onderwijs: Vaak minder volwassen beveiligingsbeleid en veel gebruikers met toegang tot gevoelige data.
Omvang speelt minder een rol dan je zou verwachten. Aanvallers richten zich niet alleen op grote bedrijven. MKB-bedrijven zijn aantrekkelijk omdat ze vaak waardevolle data hebben, maar minder investeren in detectie en respons.
Hoe herken je een adversarial phishing poging?
Een AiTM-phishingpoging herken je aan een combinatie van signalen: een onverwachte inlogvraag, een URL die lijkt op maar niet identiek is aan de echte URL, en een gevoel van urgentie in het bericht dat je naar de link leidt. Let ook op phishing via WhatsApp of sms met links naar inlogpagina’s, want aanvallers gebruiken steeds vaker deze kanalen.
Concrete signalen om op te letten:
- Een URL met een subtiele afwijking, zoals een extra letter, een koppelteken of een ander domeinachtervoegsel (bijvoorbeeld .net in plaats van .com, of microsofft.com in plaats van microsoft.com).
- Een inlogverzoek dat je ontvangt zonder dat je zelf iets hebt aangevraagd, via e-mail, sms of WhatsApp.
- Een bericht met urgentie, zoals “Je account wordt geblokkeerd” of “Bevestig je identiteit binnen 24 uur.”
- Een inlogpagina die vraagt om je MFA-code, terwijl je normaal gesproken de code invoert in de app of op een apparaat dat je zelf al hebt geopend.
- Na het inloggen word je direct doorgestuurd naar een neutrale pagina in plaats van naar je gebruikelijke dashboard.
Phishing herkennen via WhatsApp is extra lastig omdat berichten persoonlijker aanvoelen en afkomstig lijken van bekenden. Aanvallers gebruiken gekompromitteerde accounts van collega’s of leveranciers om berichten te sturen, waardoor de drempel om op een link te klikken lager is. Controleer altijd de URL voordat je inlogt, ongeacht via welk kanaal het verzoek is binnengekomen.
Hoe bescherm je jouw organisatie tegen adversarial phishing?
Je beschermt jouw organisatie tegen AiTM phishing door een combinatie van phishing-resistente MFA, bewustzijnstraining, en technische detectie van verdachte sessies. Geen enkele maatregel is afdoende op zichzelf. De combinatie van mensen, beleid en technologie maakt het verschil.
Concrete stappen die je kunt zetten:
- Schakel over naar phishing-resistente MFA: Implementeer FIDO2-sleutels of configureer Cisco Duo met domeingebonden verificatie. Dit is de meest directe technische maatregel tegen AiTM.
- Activeer Conditional Access in Microsoft 365: Stel regels in die inlogpogingen blokkeren vanuit onbekende locaties, onbekende apparaten of buiten werktijden.
- Monitor actieve sessies: Gebruik tooling die verdachte sessieactiviteit signaleert, zoals een login vanuit twee landen in korte tijd of een sessie die afwijkt van het normale gebruikerspatroon.
- Train medewerkers specifiek op AiTM: Zorg dat je team begrijpt dat een beveiligde verbinding (het slotje in de browser) geen garantie is voor een veilige website. Phishing herkennen gaat verder dan visuele controle.
- Stel een wachtwoordbeleid in met een wachtwoordmanager: Gebruik Keeper of een vergelijkbare tool zodat medewerkers sterke, unieke wachtwoorden gebruiken en niet worden verleid tot hergebruik.
Technische detectie speelt ook een grote rol. Zelfs als een aanvaller een sessiecookie bemachtigt, wil je dat dit zo snel mogelijk wordt gesignaleerd. Endpoint Detection and Response (EDR)-oplossingen zoals Huntress kunnen afwijkend gedrag op endpoints detecteren dat wijst op een gecompromitteerde sessie.
Hoe wij helpen met bescherming tegen adversarial phishing
Bij NTNT begrijpen we dat AiTM phishing voor veel MKB-organisaties een onbekend maar reëel risico is. We helpen je stap voor stap om jouw beveiliging op het juiste niveau te brengen, zonder dikke rapporten of technisch jargon. Wat we concreet voor je doen:
- We beoordelen jouw huidige MFA-configuratie en adviseren over phishing-resistente alternatieven, inclusief de implementatie van Cisco Duo.
- We helpen je Microsoft 365-omgeving te beveiligen met Conditional Access-beleid en sessiemonitoring.
- We implementeren Huntress als detectie- en responsoplossing, zodat verdachte sessies en aanvallen snel worden gesignaleerd en gestopt.
- We verzorgen phishing-bewustzijnstraining die verder gaat dan het herkennen van spelfouten, inclusief AiTM-scenario’s en phishing via WhatsApp.
- We helpen je een wachtwoordbeleid opzetten en implementeren Keeper als wachtwoordmanager voor jouw team.
Wil je weten hoe jouw organisatie er nu voor staat? Plan een gratis kennismakingsgesprek of vraag de Cyber Security Quickscan aan via www.ntnt.nl of stuur een e-mail naar info-msp@ntnt.nl. Samen brengen we rust in jouw digitale wereld.