{"id":21679,"date":"2026-04-02T10:30:27","date_gmt":"2026-04-02T08:30:27","guid":{"rendered":"https:\/\/acora.com\/nl\/?post_type=resources&p=21679"},"modified":"2026-04-01T10:28:16","modified_gmt":"2026-04-01T08:28:16","slug":"aanvallers-hebben-geen-nieuwe-technieken-nodig-om-binnen-te-komen","status":"publish","type":"resources","link":"https:\/\/acora.com\/nl\/insights\/aanvallers-hebben-geen-nieuwe-technieken-nodig-om-binnen-te-komen\/","title":{"rendered":"Aanvallers hebben geen nieuwe technieken nodig om binnen te komen"},"content":{"rendered":"

Acht minuten. Zolang duurde het voordat een aanvaller gelekte credentials vond in een publieke opslag, volledige beheerderstoegang kreeg tot een AWS-account en dure AI-workloads startte op andermans rekening.<\/p>\n

Dat incident staat niet op zichzelf. Elke maand verschijnt er een nieuw dreigingsrapport met nieuwe groepsnamen, nieuwe tools en nieuwe kwetsbaarheden. En toch, als je een stap terugzet, zie je steeds hetzelfde patroon.<\/p>\n

De routes naar binnen veranderen nauwelijks. Wat w\u00e9l verandert is de snelheid waarmee aanvallers bestaande tactieken combineren en de plekken in de keten waar ze toeslaan.<\/p>\n

<\/span>Sneller misbruik, dezelfde routes<\/span><\/h2>\n

Ransomware en data-extortion blijven de financi\u00eble motor achter de meeste aanvallen. De weg ernaartoe loopt steeds vaker via leveranciers, cloud-providers en dienstverleners. Met \u00e9\u00e9n gecompromitteerde integratie of API-koppeling krijgen aanvallers vaak toegang tot meerdere applicaties tegelijk.<\/p>\n

In hybride en cloud-zware landschappen zijn misconfiguraties en te brede rechten nog steeds de snelste route naar volledige toegang. Het eerder genoemde cloud-incident is daar een schoolvoorbeeld van. Geen geavanceerde exploit, alleen een vergeten credential op de verkeerde plek, en binnen minuten volledige controle.<\/p>\n

Organisaties kijken vaak naar losse systemen, terwijl het risico zit in de samenhang van identiteiten, rechten en koppelingen. E\u00e9n te breed ingesteld token is genoeg om lateraal door de hele stack te bewegen.<\/p>\n

Kwetsbaarheden worden sneller misbruikt dan ooit. Bij recent gepatchte SD-WAN-producten, mobiel device management en remote-support-tools zagen onderzoekers actieve exploitatie binnen dagen na publicatie. Aanvallers kiezen bewust voor knooppunten waarmee ze met \u00e9\u00e9n exploit een groot deel van de infrastructuur raken.<\/p>\n

In de industri\u00eble wereld is de escalatie het meest zichtbaar. Nieuwe groepen richten zich specifiek op energie- en industri\u00eble besturingssystemen en bewegen zich van verkenning naar daadwerkelijke verstoring.<\/p>\n

Veel incidenten worden nog steeds als gewone IT-storingen gelabeld, waardoor risico’s in productie en dienstverlening te lang onder de radar blijven. Dat leidt tot vertraging in herkenning en reactie, terwijl de gevolgen voor veiligheid en continu\u00efteit groot kunnen zijn. Aparte monitoring, specifieke detectieregels en segmentatie tussen IT en OT zijn geen luxe meer voor organisaties met kritieke operationele technologie.<\/p>\n

<\/span>Extensies en add-ins als voordeur<\/span><\/h2>\n

Browser-extensies en e-mail-add-ins groeien uit tot volwaardige aanvalsvectoren. Malafide Chrome-extensies die zich voordoen als AI-assistent, shopping-helper of productiviteitstool nemen sessies over, stelen cookies en lezen ChatGPT-authenticatietokens mee.<\/p>\n

Een malware-as-a-service-kit genaamd Stanley biedt criminelen kant-en-klare bouwstenen om extensies te bouwen die phishingpagina’s tonen terwijl de echte URL zichtbaar blijft. De drempel om een overtuigende malafide extensie te maken is daarmee lager dan ooit.<\/p>\n

Een campagne met AI-thema-extensies trof meer dan 300.000 gebruikers. De extensies injecteerden scripts en laadden verborgen iframes om inloggegevens en Gmail-berichten buit te maken.<\/p>\n

Daarnaast stalen zestien AI-extensies gericht ChatGPT-tokens door scripts te injecteren op chatgpt.com, waarmee aanvallers volledige toegang kregen tot gesprekken van gebruikers.<\/p>\n

Outlook-add-ins zijn inmiddels ook doelwit. Een aanvaller nam het verlaten domein van een legitieme add-in over en gebruikte de vertrouwde interface om meer dan 4.000 Microsoft-credentials te verzamelen. Omdat Outlook-add-ins live content laden van externe URL’s, kon de aanvaller de add-in misbruiken zonder de Store-vermelding aan te passen.<\/p>\n

Extensies en add-ins verdienen dezelfde governance als software die je op een endpoint installeert. Standaard whitelists, periodieke opschoning, blokkeren van risicocategorie\u00ebn en duidelijke communicatie naar gebruikers over wat er w\u00e9l is toegestaan.<\/p>\n

<\/span>Identiteit als favoriete ingang<\/span><\/h2>\n

Aanvallen op identiteit vormen de ruggengraat van een groot deel van de huidige campagnes. Groepen doen zich voor als de interne IT-afdeling, bellen medewerkers via vishing en leiden hen naar overtuigende nagemaakte inlogpagina’s. Door SSO- en MFA-gegevens buit te maken en eigen apparaten te registreren, krijgen ze langdurige, legitiem ogende toegang tot cloud-platforms als Okta, SharePoint en OneDrive.<\/p>\n

Meerdere clusters opereren met vergelijkbare technieken en verschillende infrastructuur. Synthetische identiteiten en recruitment-lures maken social engineering steeds lastiger te herkennen.<\/p>\n

Aanvallers gebruiken ook social-engineering-technieken zoals ClickFix, waarbij slachtoffers via nep-verificatiepagina’s worden verleid om een commando uit te voeren dat malware installeert via DNS-lookups. Deze methode omzeilt standaard webdetectie volledig. In een recente variant werden gecompromitteerde legitieme websites gebruikt om een nep-Cloudflare verificatiepagina te tonen die slachtoffers naar malware leidt.<\/p>\n

Phishing-resistente authenticatie zoals FIDO2-keys maakt het onderscheppen van inloggegevens technisch onmogelijk. In combinatie met strikte logging en afwijkingsdetectie ontstaat een verdedigingslinie die verder gaat dan klassieke MFA.<\/p>\n

Medewerkers hebben daarnaast een laagdrempelige route nodig om twijfelgevallen direct te melden. Het SOC moet specifiek alert zijn op mislukte aanmeldpogingen, ongebruikelijke apparaatregistraties en plotselinge datadumps vanuit samenwerkingsplatformen.<\/p>\n

<\/span>AI versnelt de aanvaller<\/span><\/h2>\n

AI is geen nieuwe aanvalsvorm op zich. Het is een versneller van bestaande tactieken. Aanvallers gebruiken modellen om infrastructuur sneller in kaart te brengen, code te genereren en kwetsbaarheden te combineren.<\/p>\n

Bij het eerder genoemde cloud-incident waren er indicaties dat de aanvaller LLM-gegenereerde code en onrealistische AWS-ID’s gebruikte voor de exploitatie.<\/p>\n

Tegelijk ontstaan nieuwe risico’s rond AI-platformen zelf. Kwetsbaarheden in AI-agents en onveilige integraties maken het mogelijk om via token-diefstal en cross-site WebSocket-aanvallen op afstand code uit te voeren.<\/p>\n

Malafide skills en infostealers richten zich op het stelen van AI-tokens om data buit te maken en toegang uit te breiden. Kwaadaardige websites kunnen AI-agent-workflows kapen via ongevalideerde bronnen, waardoor de agent doet wat de aanvaller wil terwijl alles er voor de gebruiker normaal uitziet.<\/p>\n

Duizenden misconfigureerde Google Cloud API-keys bleken standaard op onbeperkt te staan. Aanvallers scrapen die keys uit publieke code en gebruiken ze om bestanden te benaderen of dure rekenkracht te starten. AI-projecten horen onder dezelfde governance als andere bedrijfskritische systemen, met strikte tokenbeveiliging en least-privilege op API-rechten.<\/p>\n

<\/span>Fundament eerst<\/span><\/h2>\n

“Wie de grondzaken op orde heeft, wordt onevenredig veel beter beschermd tegen elke nieuwe golf.”
\nLeon Smit, General Manager Acora Nederland<\/strong><\/p><\/blockquote>\n

 <\/p>\n

De rode draad door het huidige dreigingslandschap is dat organisaties met sterke basisbeveiliging beter bestand zijn tegen vrijwel elke aanvalsgolf. De prioriteiten voor de komende periode zijn helder.<\/p>\n