Contents

Maandagochtend, half tien. Je securityteam loopt het dashboard langs. Alles groen. Patches up-to-date, endpoints gezond, geen openstaande alerts. Toch zit er al drie dagen iemand in je tenant. Een sessie die eruitziet als die van een collega op kantoor. Rustig rondkijkend door je SharePoint, je mail, je bestanden.

Zo zien aanvallen er tegenwoordig uit. Een gestolen credential, een gekaapte sessie, en iemand die zich door je systemen beweegt alsof hij er thuishoort. De firewall heeft niks gemerkt. De endpointbeveiliging ook niet. Want er ís geen malware. Er is alleen iemand die inlogt.

Phishing via platforms die je vertrouwt

De phishingmails van een paar jaar geleden waren makkelijk te herkennen. Slecht taalgebruik, vreemde afzenders, verdachte links. Die tijd is voorbij.

Aanvallers gebruiken nu vertrouwde platforms als dekmantel. Ze versturen phishingberichten via SharePoint, met bestanden die er volkomen normaal uitzien. De ontvanger klikt, logt in op wat lijkt op een vertrouwde Microsoft-pagina, en geeft onbedoeld zijn credentials weg. Maar het stopt daar niet. De aanvaller plaatst zich tussen de gebruiker en de dienst, onderschept de sessie inclusief eventuele MFA-codes, en zet inboxregels op die zijn activiteit verbergen. Zo houdt hij grip op de mailbox zonder dat iemand het merkt.

Hetzelfde patroon speelt via Google-cloudinfrastructuur. In één campagne werden via legitieme Google-servers in twee weken bijna 9.400 phishingmails verstuurd naar ruim 3.200 ontvangers. De links liepen via vertrouwde domeinen voordat ze doorverwezen naar een nep-inlogpagina. Voor een spamfilter is het verschil nauwelijks te zien. Voor een medewerker al helemaal niet.

Dan zijn er de gerichte campagnes waarbij gebruikers nep-onderhoudsmails ontvangen van tools als LastPass, met het verzoek hun master password in te voeren op een nagemaakte pagina. De mails zien er verzorgd uit, het domein lijkt te kloppen, en de urgentie voelt reëel. Precies zo ontworpen dat je niet lang nadenkt voordat je klikt.

Het gemeenschappelijke patroon: aanvallers misbruiken het vertrouwen dat je al hebt in de platformen waarmee je dagelijks werkt. Je spamfilter laat het door, want het kómt van een vertrouwde bron.

Je browser is kwetsbaarder dan je denkt

Browser-extensies vormen een groeiend risico dat bij veel organisaties onder de radar blijft. Aanvallers bouwen extensies die eruitzien als HR-tools, productiviteitshulpmiddelen of AI-assistenten. Ze passeren de controles van officiële stores, en medewerkers installeren ze zonder iets te vermoeden.

Een nep-adblocker liet browsers crashen en verleidde gebruikers om commando’s uit te voeren waarmee remote-access malware werd geïnstalleerd op bedrijfssystemen. Andere extensies deden zich voor als tools voor HR en ERP, stalen authenticatietokens en maakten volledige accountovername mogelijk. Vijf van die extensies richtten zich specifiek op zakelijke gebruikers.

In een andere campagne kregen gebruikers een nep-blauw scherm te zien, het klassieke Blue Screen of Death. De paniek dreef hen om een commando uit te voeren dat de aanvallers volledige toegang gaf. Geen technische exploit, puur psychologische druk.

AI-extensies vormen een aparte categorie. Twee extensies met samen meer dan 900.000 installaties kopieerden gesprekken uit AI-chattools, inclusief browsegeschiedenis. Onderzoekers noemen dit inmiddels prompt poaching. En AI-assistenten die in de browser draaien, brengen nóg een risico mee. Via prompt injection (verborgen instructies in bijvoorbeeld een agenda-uitnodiging of URL-parameter) kunnen aanvallers zo’n assistent manipuleren zonder dat de gebruiker iets merkt.

De assistent voert uit wat de aanvaller wil, terwijl de gebruiker denkt dat alles normaal functioneert. Bij één bekende kwetsbaarheid was het voldoende om een instructie te plaatsen in een gewone kalenderafspraak om privégegevens te laten lekken.

Identiteit als nieuw doelwit

Jarenlang ging het beveiligingsbudget naar firewalls en endpoints. Ondertussen bewegen aanvallers zich richting iets veel simpelers: je logingegevens, je sessietokens, de API-sleutels in je code.

Waarom zou je een server proberen te kraken als je kunt inloggen met een gestolen sessietoken? Aanvallers forceren zich niet meer door de voordeur. Ze pakken de sleutel. En de meeste organisaties merken het pas als de schade al is aangericht.

Die verschuiving maakt klassieke verdedigingslagen minder relevant. Een firewall stopt geen aanvaller die zich al heeft geauthenticeerd. Een virusscanner herkent geen gestolen sessie. Pas als je het gedrag ná het inloggen analyseert (waar logt iemand in, wanneer, vanaf welk apparaat, wat doet die persoon daarna) kun je afwijkingen opmerken. Een inlog vanuit Rotterdam om 9 uur ‘s ochtends en een uur later vanuit Lagos: dat is het soort signaal waar je op wilt acteren.

Identiteitsbeveiliging hoort centraal in elk security-programma. Wie dat nog steeds als bijzaak behandelt, dicht de verkeerde gaten.

Je ontwikkeltools als aanvalsvector

De dreiging beperkt zich niet tot eindgebruikers. Ook ontwikkelteams zijn doelwit geworden, juist omdat zij vergaande rechten hebben op systemen en code. Eén gecompromitteerde ontwikkelaar kan toegang geven tot repositories, build-pipelines en productiesystemen.

AI-gedreven code-editors bleken extensies aan te raden die niet bestonden. Kwaadwillenden claimden die namen in de extensiemarktplaatsen en verspreidden er malware mee. Voor een ontwikkelaar die zijn editor vertrouwt, is dat nauwelijks te onderscheiden van een legitieme aanbeveling.

Populaire AI-extensies met honderdduizenden installaties stuurden ondertussen broncode en werkbestanden naar externe servers, terwijl ze er voor de gebruiker volkomen normaal uitzagen. Ze werkten zoals verwacht. Alleen deden ze op de achtergrond meer dan beloofd.

Tegelijkertijd blijven bekende kwetsbaarheden in de infrastructuurlaag bestaan. Firewalls die ondanks patches aangevallen worden, omdat de patch de oorspronkelijke kwetsbaarheid niet volledig verhelpt. Botnets die IoT-apparaten misbruiken via nieuwe lekken. Emergency-patches voor kantoorapplicaties waar zero-days in zitten. Beveiliging staat op meerdere fronten tegelijk onder druk.

Wat je vandaag al kunt veranderen

Je hoeft niet alles tegelijk op te lossen. Een paar gerichte stappen verkleinen je aanvalsoppervlak flink.

  • Stap over op phishing-resistente authenticatie zoals FIDO2. Wachtwoorden en zelfs MFA via sms of authenticator-apps zijn te onderscheppen met AiTM-aanvallen. Hardwaregebaseerde authenticatie maakt dat veel moeilijker.
  • Monitor het gedrag van accounts continu. Kijk niet alleen naar inlogmomenten. Analyseer of het gedrag daarna past bij de gebruiker, de locatie en het apparaat. Eén afwijking kan het verschil maken tussen vroegtijdig ingrijpen en wekenlang ongemerkte datatoegang.
  • Beperk browser-extensies tot een goedgekeurde lijst. Laat medewerkers alleen extensies installeren die door IT zijn gecontroleerd en voer regelmatig audits uit op wat er daadwerkelijk draait.
  • Richt supply-chain-beveiliging in voor ontwikkelteams. Beperk wat er geïnstalleerd mag worden in de ontwikkelomgeving, controleer afhankelijkheden en monitor op ongebruikelijke datastromen naar buiten.
  • Blijf investeren in bewustzijnstraining. Sociale engineering blijft de motor achter de meeste succesvolle aanvallen. Train je team op de nieuwste tactieken, juist omdat die steeds overtuigender worden.

Vraag tien bestuurders naar hun grootste risico, en meer dan de helft zegt: een cyberaanval. Vraag diezelfde tien of ze er klaar voor zijn, en het wordt stil. Die stilte is eerlijk. En eerlijk is een goed vertrekpunt.

Wie weet waar de gaten zitten, kan morgen beginnen met dichten. Niet met een compleet nieuw beveiligingsprogramma, maar met de stappen hierboven. Elke week één ding. Elke stap een stukje sterker.

Benieuwd waar jouw organisatie nu staat? Leon Smit denkt graag mee over wat dit in de praktijk betekent en waar het zinvol is om te kijken.

Contact kan via netherlands@acora.com of via de contactpagina van Acora Nederland.

Insights by Leon Smit