Wat is een tegenstander-in-the-middle-aanval?

Bij een AiTM-aanval wordt een omgekeerde proxy uitgevoerd tussen de gebruiker en de echte inlogpagina. De gebruiker bezoekt een phishing-URL, voert inloggegevens in en voltooit de MFA-uitdaging. De proxy stuurt alles in realtime door naar de echte site, verzamelt de sessiecookie en bewaart een geldig token zonder dat het wachtwoord van de gebruiker of de MFA-code verder nodig is. Tools als EvilGinx2 en Modlishka automatiseren dit. TOTP en push MFA mislukken hier beide omdat de authenticatie legitiem via de proxy wordt voltooid.

Houdt FIDO2 tegenstander-in-the-middle-aanvallen tegen?

FIDO2-wachtwoorden en hardwarebeveiligingssleutels zijn bij registratie gebonden aan de oorspronkelijke URL. Een wachtwoord dat is geregistreerd op login.microsoft.com ondertekent geen uitdaging van een vergelijkbaar domein: de browser controleert de oorsprong en weigert. NIST classificeert FIDO2 om deze reden als phishing-bestendig; TOTP krijgt een dergelijke classificatie niet. Eén limiet: FIDO2 beschermt sessietokens niet na een legitieme login. Apparaatcompliance en Continuous Access Evaluation behandelen dat afzonderlijk.

Hoe dwing ik phishing-bestendige MFA af in Microsoft 365?

Ga in Microsoft Entra ID naar Beveiliging, Authenticatiemethoden, Authenticatiesterkten. Maak een aangepast sterktebeleid waarvoor een wachtwoord (FIDO2) of Windows Hello for Business vereist is. Maak een beleid voor voorwaardelijke toegang en pas deze kracht toe op uw meest gevoelige applicaties of op alle gebruikers. Voor geprivilegieerde accounts moet u dit onvoorwaardelijk maken. Gebruikers zonder hardwarebeveiligingssleutel kunnen Microsoft Authenticator met wachtwoordondersteuning gebruiken als FIDO2-authenticator.

Wat is het verschil tussen het opvullen van inloggegevens en een gerichte AiTM-aanval?

Het opvullen van inloggegevens is geautomatiseerd en ongericht. Aanvallers voeren op grote schaal misbruikte gebruikersnaam-wachtwoordlijsten uit tegen algemene services, waarbij ze misbruik maken van wachtwoordhergebruik. Unieke wachtwoorden en MFA houden het meeste tegen. Een AiTM-aanval is doelgericht en actief: de aanvaller phisht een specifieke gebruiker, voert een proxy uit om de authenticatiesessie in realtime te onderscheppen en loopt weg met een geldig sessietoken. MFA biedt hier geen bescherming; Om dit tegen te gaan is phishing-bestendige authenticatie of detectie van sessie-afwijkingen vereist.

Voorbij het wachtwoord: hoe aanvallende MFA omzeilen en hoe ze te stoppen

Belangrijkste afhaalrestaurants

Gestolen inloggegevens zorgen voor initiële toegang bij meer dan 80% van de inbreuken op ondernemingen (Verizon DBIR). Tegenstander-in-het-midden-aanvallen hebben die kloof vergroot, niet verkleind.
AiTM-proxyaanvallen geven uw inloggegevens en MFA-uitdaging door aan de echte inlogservice, leggen het sessietoken vast en retourneren een normale succesvolle login. TOTP en pushmeldingen bieden geen bescherming.
FIDO2-wachtwoorden en hardwarebeveiligingssleutels stoppen AiTM-aanvallen omdat de cryptografische uitdaging gebonden is aan de exacte oorsprong-URL. Een phishing-domein krijgt een andere uitdaging en kan niets ondertekenen.
Pass-the-cookie-aanvallen spelen gestolen sessietokens opnieuw af zonder dat er inloggegevens vereist zijn. Beleid voor de levensduur van tokens, naleving van het apparaat met voorwaardelijke toegang en CAE zijn de primaire controles.
MFA-vermoeidheidsaanvallen verzenden pushmeldingen snel achter elkaar totdat een gebruiker er een goedkeurt om ze te laten stoppen. Nummermatching voorkomt dit: de gebruiker moet een nummer typen dat op het inlogscherm wordt weergegeven, dus automatisch tikken doet niets.
Credential-verdediging vereist phishing-bestendige MFA op geprivilegieerde accounts, voorwaardelijke toegang met apparaatcompliance, korte tokenlevensduur en waarschuwingen over onmogelijke reizen en voor het eerst geziene apparaataanmeldingen.

Inloggegevens zijn de belangrijkste inbreukvector

De rapportage over bedrijfsinbreuken in de jaren 2010 concentreerde zich op malware: ransomwaregroepen, implantaten van natiestaten, zero-day-exploits. Aanvallers zijn sindsdien overgestapt op diefstal van inloggegevens. Het is goedkoper, sneller en moeilijker te detecteren. Een legitiem account dat zich aanmeldt via een geautoriseerde identiteitsprovider ziet eruit als een normale login voor de meeste monitoringsystemen.

De Verizon DBIR plaatst gestolen inloggegevens bij meer dan 80% van de hackgerelateerde inbreuken. Het aanbod is enorm: HaveIBeenPwned indexeert meer dan 13 miljard geschonden accounts uit honderden historische inbreuken. Stuffingtools testen deze op schaal met verzoekbeperking en IP-rotatie om snelheidsbeperking te voorkomen.

MFA stopt het opvullen van inloggegevens en de meeste geautomatiseerde aanvallen. Aanvallers pasten zich aan. Een subset richt zich nu op de authenticatiesessie in plaats van op de inloggegevens, en TOTP of pushmeldingen bieden geen bescherming tegen deze aanvallen.

80%+

van de hackgerelateerde inbreuken betreft gestolen inloggegevens (Verizon DBIR)

13B+

geschonden inloggegevens geïndexeerd door HaveIBeenPwned op basis van historische datalekken

toename van AiTM-phishing-aanvallen gericht op Microsoft 365-tenants tussen 2022 en 2024

Zes bypass-methoden

Credential-aanvallen verschillen afhankelijk van waarop ze zich richten en hoe ze slagen. Een controle die het opvullen van referenties stopt, kan niets doen tegen diefstal van sessietokens.

🕸

1. Adversary-in-the-Middle (AiTM)-proxy

Hoog risico

De aanvaller zet een reverse proxy (EvilGinx2, Modlishka) in op een phishing-domein. De gebruiker voert inloggegevens in en voltooit de MFA-uitdaging zoals normaal. De proxy stuurt alles in realtime door naar de echte inlogservice, legt de sessiecookie vast die de echte site retourneert en stuurt de succesvolle inlogpagina terug. De gebruiker ziet niets verkeerds. De aanvaller beschikt over een geldig sessietoken zonder verder gebruik van de inloggegevens of MFA. Gestopt door: FIDO2 phishing-bestendige MFA (oorspronggebonden cryptografische uitdaging mislukt op het phishing-domein). Gedeeltelijk verholpen door: compliance van apparaten met voorwaardelijke toegang, CAE, korte levensduur van sessies.

🍪

2. Geef de cookie door / sessietoken opnieuw afspelen

Hoog risico

Infostealers zoals Redline en Vidar extraheren sessietokens uit het browsergeheugen, lokale opslag of browserprofielen op een besmet apparaat. De aanvaller importeert het token in zijn eigen browser en speelt de geverifieerde sessie opnieuw af. Geen inloggegevens. Geen MFA. Dit werkt tegen elke MFA-factor zolang het token geldig blijft. Gestopt door: korte sessielevensduur, voorwaardelijke toegang met apparaatcompliance (bindt sessie aan beheerd apparaat), Continuous Access Evaluation (CAE) die tokens in bijna realtime intrekt wanneer risicosignalen verschijnen, en onmogelijke reiswaarschuwingen in toegangslogboeken.

🔔

3. MFA-vermoeidheid (pushbombardementen)

Middelmatig risico

De aanvaller beschikt over geldige inloggegevens en stuurt herhaaldelijk pushmeldingen naar de telefoon van het doelwit. De inbreuk op Uber in 2022 begon op deze manier: een aannemer ontving melding na melding en keurde er één goed om ze te laten stoppen. Binnen enkele minuten was de aanvaller binnen. Verzacht door: het inschakelen van nummermatching in authenticator-pushmeldingen (de gebruiker moet het nummer typen dat op het inlogscherm wordt weergegeven, waardoor automatisch tikken nutteloos wordt), het toevoegen van context aan pushmeldingen en het beperken van push-pogingen per sessie.

📱

4. SIM-wisselen

Middelmatig risico

De aanvaller belt de mobiele provider van het doelwit, doet zich voor als deze via social engineering of gestolen persoonlijke gegevens, en stuurt het telefoonnummer door naar een simkaart die hij beheert. Elke sms-code gaat naar de aanvaller. Dit is het belangrijkst wanneer sms de enige MFA-optie is. Bedrijfsomgevingen die al authenticatie-apps gebruiken, hebben te maken met beperkte blootstelling. Verzacht door: SMS vervangen door authenticator-apps of FIDO2. Als sms-berichten niet kunnen worden verwijderd, verkleinen de pincodes van uw provider of functies voor accountvergrendeling het risico.

🤖

5. Credential stuffing op schaal

Middelmatig risico

Geautomatiseerde tools testen geschonden referentieparen op grote schaal tegen doelservices. De meeste mislukken bij accounts met unieke wachtwoorden en MFA. Degenen die slagen, exploiteren hergebruik: een foruminbreuk uit 2019 opent nog steeds een Microsoft 365-tenant van het bedrijf als de gebruiker het wachtwoord nooit heeft gewijzigd. Accounts zonder MFA zijn het primaire doelwit. Gestopt door: MFA op alle accounts, monitoring van wachtwoordinbreuken (Entra ID Identity Protection omvat HIBP-integratie) en voorwaardelijke toegang die oudere authenticatieprotocollen blokkeert die MFA-uitdagingen overslaan.

🔑

6. OAuth-toestemmingsphishing

Middelmatig risico

De aanvaller registreert een kwaadaardige OAuth-applicatie en stuurt het doelwit een link. De gebruiker logt in via zijn echte Microsoft 365- of Google-account, voltooit MFA en keurt wat lijkt op een routine-machtigingsdialoog goed. De toepassing van de aanvaller heeft nu permanente gedelegeerde toegang tot e-mail, bestanden of contacten. Als u het wachtwoord wijzigt, wordt er niets verwijderd. De toestemmingsverlening blijft bestaan totdat een beheerder deze intrekt. Beperkt door: Entra ID-app-toestemmingsbeleid dat niet-geverifieerde applicaties blokkeert, de toestemming van gebruikers beperkt tot vooraf goedgekeurde applicaties en het auditlogboek van de huurder controleert op nieuwe OAuth-toekenningen.

Wat elk MFA-type eigenlijk tegenhoudt

De MFA-factorkeuze bepaalt het aanvalsoppervlak. SMS OTP en pushmeldingen voorkomen het opvullen van inloggegevens. Geen van beide stopt een realtime AiTM-aanval. Als u weet waar de bescherming van elke factor eindigt, weet u welke u eerst moet upgraden.

MFA-type

Credential vulling

AiTM-proxy

Sessie opnieuw afspelen

SMS-OTP

✔ Stopt

✘ Omzeild

TOTP (Authenticator-app)

✔ Stopt

✘ Omzeild

Push + nummerovereenkomst

✔ Stopt

✘ Omzeild

FIDO2 / Wachtwoord

✔ Stopt

▲ Gedeeltelijk*

* FIDO2 stopt AiTM bij authenticatie, maar beschermt sessietokens niet na een legitieme login. Apparaatcompliance en CAE zijn vereist voor de beveiliging na authenticatiesessies.

Wat FIDO2 anders maakt

TOTP-codes, pushgoedkeuringen en sms-berichten delen allemaal één eigenschap: ze kunnen worden doorgestuurd. De gebruiker voltooit de uitdaging en de proxy geeft deze door. De sessie wordt geopend. De proxy neemt de cookie.

FIDO2 werkt anders. De privésleutel bevindt zich op het apparaat en verlaat deze nooit. De browser ondertekent een uitdaging die de aanvragende oorsprong-URL bevat. Een phishing-domein op login-microsoft-365.com krijgt een uitdaging met dat domein. De browser vergelijkt het met de geregistreerde oorsprong, login.microsoft.com, en weigert te ondertekenen. De proxy krijgt niets door te sturen.

NIST SP 800-63B classificeert FIDO2 precies om deze reden als phishing-bestendig. Zowel CISA als NCSC raden het aan voor hoogwaardige accounts.

Een opmerking over push MFA

Een gebruiker die herhaalde pushverzoeken ontvangt, kan er een goedkeuren om de ruis te stoppen. De gegevens van de Microsoft laten zien dat het matchen van nummers de goedkeuringspercentages tijdens pushbombardementen met meer dan 99% verlaagt. Als u push MFA gebruikt, is dit een gratis configuratiewijziging die vrijwel alle succesvolle MFA-vermoeidheidsaanvallen verwijdert.

Verdedigen tegen sessielaagaanvallen

Diefstal van sessietokens vindt plaats na authenticatie. De bedieningselementen die hier van belang zijn, hebben betrekking op de levensduur van tokens en apparaatbinding, niet op de login zelf.

Levensduurbeleid voor tokens

Toegangstokens met een lange levensduur geven een aanvaller de tijd om een gestolen sessie te gebruiken. Het Entra ID-tokenlevensduurbeleid verkleint dat venster voor gevoelige applicaties, maar kortere sessies betekenen frequentere herauthenticatie. Continuous Access Evaluation (CAE) lost beide op voor ondersteunde apps: het trekt tokens in bijna realtime in wanneer Entra ID een risicogebeurtenis detecteert, zoals een onmogelijke reisaanmelding of een gemeld compromis.

Apparaatbinding via voorwaardelijke toegang

Voorwaardelijke toegang met apparaatcompatibiliteit controleert of het oorspronkelijke apparaat van de sessie is ingeschreven en beheerd. Een aanvaller die een gestolen token van een onbeheerde machine opnieuw afspeelt, slaagt niet voor de nalevingscontrole en wordt geblokkeerd. Gestolen tokens werken niet meer tegen applicaties die dit beleid afdwingen.

Controle op tokenafwijkingen

Onmogelijke reiswaarschuwingen vangen aanmeldingen op van locaties die fysiek incompatibel zijn. Een gebruiker die zich om 09:00 uur in Amsterdam heeft aangemeld, kan niet ook om 09:15 uur vanuit Moskou inloggen. Entra ID Identity Protection en Microsoft Sentinel brengen deze detecties beide naar voren. Verbind ze met geautomatiseerde antwoorden: sessie-intrekking, gedwongen herauthenticatie of een waarschuwing aan het beveiligingsteam.

Begin met bevoorrechte accounts

Phishing-bestendige MFA levert de hoogste waarde op de accounts met de meeste toegang. Administratieve accounts, verhoogde serviceaccounts, financieel personeel en bestuursleden vormen een klein deel van uw gebruikers, maar zijn verantwoordelijk voor het grootste deel van de schade die een succesvolle inloggegevensaanval kan aanrichten.

Het uitrollen van FIDO2 in een grote organisatie kost tijd: apparaatdistributie, gebruikerstraining, uitrol van beleid. De twintig rekeningen die er het meest toe doen, kunnen binnen enkele dagen worden afgehandeld. Begin met beleid voor voorwaardelijke toegang dat phishing-bestendige authenticatie vereist voor toegang tot geprivilegieerde rollen, en PIM om te voorkomen dat beheerdersrollen permanent actief blijven.

TOTP-beveiligde beheerdersaccounts zijn het prijsdoel in AiTM-campagnes. De referentie, de MFA-code en het sessietoken stromen allemaal via dezelfde proxy. FIDO2 doorbreekt die keten: de sleutel verlaat het apparaat nooit, de handtekening komt nooit overeen met een phishing-domein.

Zeven controles die nu moeten worden geïmplementeerd

Schakel nummermatching in op alle push MFA: een gratis Authenticator-instelling die push-bombardementen stopt.
Blokkeer oudere authenticatieprotocollen: SMTP AUTH, POP3, IMAP en oudere Office-clients omzeilen MFA en zijn het meest voorkomende pad voor het opvullen van inloggegevens.
Phishing-bestendige MFA afdwingen voor bevoorrechte accounts: Beleid voor de verificatiesterkte van voorwaardelijke toegang kan tegenwoordig FIDO2 vereisen voor beheerdersrollen.
Entra ID-identiteitsbescherming inschakelen: realtime risicoscores voor aanmeldingen, detectie van gelekte inloggegevens via HIBP en geautomatiseerd reactiebeleid.
Configureer continue toegangscontrole: het trekt Microsoft 365-tokens in bijna realtime in wanneer Entra ID een risicogebeurtenis detecteert.
Toestemming voor OAuth-applicatie beperken: stel het toestemmingsbeleid voor de hele tenant in Entra ID in om te voorkomen dat gebruikers niet-geverifieerde apps van derden goedkeuren.
Monitor onmogelijke reizen en aanmeldingen voor nieuwe apparaten: configureer waarschuwingsregels zodat afwijkende sessiepatronen onmiddellijke meldingen of automatische intrekking activeren.

Voorbij het wachtwoord: hoe aanvallers MFA omzeilen en hoe ze te stoppen

Inloggegevens zijn de belangrijkste inbreukvector

Zes bypass-methoden

Wat elk MFA-type eigenlijk tegenhoudt

Wat FIDO2 anders maakt

Verdedigen tegen sessielaagaanvallen

Levensduurbeleid voor tokens

Apparaatbinding via voorwaardelijke toegang

Controle op tokenafwijkingen

Begin met bevoorrechte accounts

Zeven controles die nu moeten worden geïmplementeerd

Veelgestelde vragen

Ontdek of uw MFA kan worden omzeild