Phishing is niet meer wat het was. De tijd van slecht geschreven e-mails met spelfouten en verdachte bijlagen ligt achter ons. Cybercriminelen hebben hun aanpak verfijnd en richten zich nu op iets veel waardevollers dan je wachtwoord: je volledige ingelogde sessie.
Deze nieuwe generatie phishingaanvallen heet AiTM, kort voor Adversary-in-the-Middle. Het verontrustende? Ze omzeilen je MFA volledig. Zelfs als je netjes je code invoert of de pushmelding goedkeurt, kan een aanvaller binnen enkele seconden toegang krijgen tot je Microsoft 365-omgeving.
In dit artikel leggen we uit hoe deze geavanceerde phishingtechniek werkt, waarom traditionele MFA niet langer volstaat, en welke concrete maatregelen je organisatie vandaag kan nemen.
Hoe werkt een AiTM-phishingaanval?
Bij een AiTM-aanval plaatst de aanvaller zich letterlijk tussen jou en de echte aanmeldpagina van Microsoft. Het begint zoals elke phishingaanval: je ontvangt een e-mail met een link naar een zogenaamd SharePoint-document of een dringende OneDrive-melding.
De link leidt naar een nagemaakte aanmeldpagina die visueel identiek is aan die van Microsoft. Het cruciale verschil: alles wat je invoert, wordt in real time doorgestuurd naar de échte Microsoft-servers.
Je typt je wachtwoord. Microsoft vraagt om je tweede factor. Je keurt de pushmelding goed of voert de code in. Tot zover niets ongewoons. De aanmelding slaagt en Microsoft stuurt een sessiecookie terug naar je browser om je ingelogd te houden.
Maar omdat al het verkeer via de server van de aanvaller loopt, onderschept hij dat sessiecookie. Hiermee kan hij direct inloggen op jouw account, zonder wachtwoord, zonder MFA. Vanuit Microsoft gezien is het een volledig geldige sessie.
Waarom je huidige MFA niet beschermt tegen phishing
Het probleem zit hem niet in de technologie achter MFA, maar in de manier waarop traditionele methodes werken. SMS-codes, authenticator-apps met eenmalige codes en standaard pushmeldingen hebben één fundamenteel zwak punt: ze controleren niet waar je die code invoert.
Wanneer je een code intypt op een nagemaakte website, stuurt de aanvaller die code simpelweg door naar Microsoft. De code is geldig, want hij komt van jouw authenticator. Er bestaat geen technische koppeling tussen de code en het domein waar je hem gebruikt.
Dit maakt al deze methodes vatbaar voor phishing. De aanvaller hoeft alleen te wachten tot jij de authenticatie voltooit en vangt vervolgens je sessiecookie af.
Het lastige voor IT-teams: van buitenaf is vaak niet zichtbaar welke MFA-methodes daadwerkelijk in gebruik zijn binnen de organisatie, en of de configuratie bestand is tegen dit type aanvallen. Een grondige doorlichting van je Microsoft 365-instellingen brengt deze blinde vlekken aan het licht.
Phishing-as-a-Service maakt aanvallen laagdrempelig
Wat deze dreiging extra urgent maakt, is de beschikbaarheid van kant-en-klare aanvalspakketten. Op ondergrondse marktplaatsen worden zogenaamde PhaaS-diensten (Phishing-as-a-Service) aangeboden waarmee criminelen zonder technische kennis AiTM-aanvallen kunnen uitvoeren.
Toolkits zoals Evilginx2, Mamba 2FA en Tycoon 2FA richten zich specifiek op Microsoft 365. Ze bieden geautomatiseerde token-extractie, detectie-ontwijking en zelfs Telegram-integratie zodat aanvallers een melding krijgen zodra een slachtoffer inlogt.
Recente varianten maken gebruik van meerfasen-aanvallen: eerst wordt een legitiem maar gecompromitteerd SharePoint-account gebruikt om de phishinglink te verspreiden. Omdat de e-mail afkomstig is van een vertrouwde afzender en een echte Microsoft-link bevat, passeert deze vaak de spamfilters.
De oplossing: phishing-resistente authenticatie met FIDO2
Het antwoord op AiTM-phishing is FIDO2-authenticatie. Deze technologie werkt fundamenteel anders dan traditionele MFA en is specifiek ontworpen om phishing te voorkomen.
Bij FIDO2 wordt tijdens de registratie een uniek sleutelpaar aangemaakt. De privésleutel blijft veilig op je apparaat (een hardwaresleutel, je smartphone of de TPM-chip in je laptop) en verlaat dit nooit. De publieke sleutel wordt opgeslagen bij Microsoft, gekoppeld aan het specifieke domein.
Wanneer je wilt aanmelden, controleert je authenticator het domein in de adresbalk. Bevindt de browser zich op een nagemaakte website? Dan weigert de authenticator simpelweg te reageren. Er wordt geen code verstuurd, geen handtekening gegenereerd. De phishingaanval stopt voordat hij begonnen is.
Drie manieren om FIDO2 in te zetten
Hardware security keys zoals YubiKey of Feitian bieden het hoogste beveiligingsniveau. Ideaal voor beheerders, directieleden en medewerkers met toegang tot gevoelige systemen.
Passkeys in Microsoft Authenticator maken je smartphone tot een phishing-resistente authenticator. Een kosteneffectieve optie voor de bredere organisatie, beschikbaar sinds maart 2025.
Windows Hello for Business gebruikt de TPM-chip in je laptop in combinatie met gezichtsherkenning of vingerafdruk. Geen extra hardware nodig voor organisaties met beheerde Windows-apparaten.
Aanvullende maatregelen tegen tokendiefstal
Naast FIDO2 zijn er aanvullende configuraties die tokendiefstal bemoeilijken, zelfs als een aanvaller via andere wegen een token bemachtigt.
Conditional Access met apparaatvereisten zorgt ervoor dat alleen bekende, beheerde apparaten toegang krijgen tot Microsoft 365. Probeert een aanvaller een gestolen token te gebruiken op zijn eigen laptop? Toegang geweigerd, want het apparaat is niet geregistreerd in Intune.
Legacy authenticatie uitschakelen is essentieel. Protocollen zoals IMAP en POP3 ondersteunen geen MFA en vormen een achterdeur naar je omgeving die aanvallers graag benutten.
Registratie van nieuwe MFA-methodes beperken tot vertrouwde locaties voorkomt dat een aanvaller die binnenkomt direct zijn eigen authenticator toevoegt om blijvende toegang te behouden.
Deze instellingen zitten vaak verstopt in de diepere lagen van Microsoft Entra ID. Een Microsoft 365 security audit helpt om precies te zien welke configuraties ontbreken en waar de prioriteiten liggen.
Training: je team als eerste verdedigingslijn
Technische maatregelen vormen slechts één helft van de verdediging. Hoe geavanceerd je authenticatie ook is, medewerkers blijven het eerste doelwit van phishing. Ze moeten weten waar ze op moeten letten.
Bij AiTM-aanvallen is de URL in de adresbalk vaak de enige zichtbare aanwijzing dat er iets mis is. Klassieke phishingsimulaties met overduidelijke spelfouten volstaan niet meer. Je team moet getraind worden op het herkennen van subtiele signalen: vreemde domeinnamen, onverwachte aanmeldverzoeken, en de reflex om altijd de URL te controleren voordat ze inloggegevens invoeren.
Een realistische phishingsimulatie die deze AiTM-technieken nabootst, geeft inzicht in hoe je organisatie reageert op dit type aanval. Niet om mensen af te straffen, maar om gericht te trainen waar de risico’s zitten. Bij Cyberplan combineren we dergelijke simulaties met security coaching: persoonlijke begeleiding die medewerkers helpt de juiste reflexen te ontwikkelen.
Wat als het toch misgaat?
Zelfs met de beste voorbereiding kan een aanval slagen. Wat dan telt, is snelheid. Hoe langer een aanvaller toegang heeft, hoe groter de schade: van Business Email Compromise tot ransomware en datalekken.
Een incident response-plan zorgt ervoor dat je team weet wat te doen: wie belt wie, hoe isoleer je de getroffen accounts, en hoe communiceer je intern en extern? Dit hoeft geen dik draaiboek te zijn, maar de basisstappen moeten helder zijn vóór er paniek uitbreekt.
24/7 bereikbaarheid voor noodgevallen maakt hierin het verschil. “Help, ik denk dat we gehackt zijn” is een vraag die niet kan wachten tot maandagochtend. Bij Cyberplan kunnen klanten ons ook buiten kantooruren bereiken wanneer het erop aankomt.
Regelgeving maakt actie onvermijdelijk
Met DORA (voor de financiële sector en hun leveranciers), de Cyber Resilience Act en het aangescherpte handhavingsbeleid van de Belgische Gegevensbeschermingsautoriteit is adequate authenticatie geen vrijblijvende keuze meer.
Artikel 32 van de GDPR vereist “passende technische maatregelen” voor de beveiliging van persoonsgegevens. Gezien de huidige stand van de techniek wordt phishing-resistente MFA steeds meer de norm waaraan organisaties worden getoetst.
De GBA heeft aangekondigd over te stappen op proactieve handhaving. De tijd van waarschuwingen is voorbij; er worden nu boetes opgelegd bij structurele inbreuken.
Voor bedrijven die onder NIS2 of DORA vallen, komen daar nog meldplichten en documentatie-eisen bovenop. Een gap-analyse helpt om te bepalen waar je organisatie staat en welke stappen prioriteit hebben.
Subsidies maken investeren aantrekkelijker
Sinds 1 februari 2026 is de KMO-portefeuille voor advies exclusief voorbehouden aan cybersecurity. Dat betekent dat Vlaamse ondernemingen nu extra voordelig kunnen investeren in hun beveiliging:
KMO-portefeuille voor cybersecurity:
- Kleine ondernemingen: 45% subsidie
- Middelgrote ondernemingen: 35% subsidie
- Maximum: €7.500 per jaar
Cybersecurity verbetertrajecten via VLAIO:
- 50% subsidie voor KMO’s
- 35% voor niet-KMO’s die onder NIS2 vallen
- Trajecten vanaf €7.100
Deze regelingen maken het financieel aantrekkelijk om nu actie te ondernemen. Van een Microsoft 365-audit tot phishingsimulaties en awareness-training: een aanzienlijk deel van de investering wordt gedekt. Cyberplan is erkend dienstverlener voor beide subsidieregelingen en helpt je graag bij de aanvraag.
Concrete eerste stappen
De overstap naar phishing-resistente authenticatie hoeft geen mammoetproject te zijn. Een gefaseerde aanpak werkt voor de meeste organisaties het beste:
- Deze week: Breng in kaart welke MFA-methodes momenteel in gebruik zijn. Wordt er nog SMS gebruikt? Zijn er accounts zonder MFA? Dit vormt je vertrekpunt.
- Deze maand: Rol FIDO2 uit voor de hoogste risico’s eerst: global admins, financiële medewerkers, directie. Hardware keys voor deze groep zijn een relatief kleine investering met grote impact.
- Dit kwartaal: Schakel passkeys in voor de bredere organisatie via Microsoft Authenticator. Combineer dit met een phishingsimulatie om te meten waar de aandachtspunten liggen.
- Structureel: Plan een jaarlijkse Microsoft 365 security audit om configuratiedrift te voorkomen en nieuwe dreigingen tijdig te signaleren.
Weet je niet precies waar je staat of welke stappen voor jouw situatie prioriteit hebben? Een kennismakingsgesprek helpt om de juiste richting te bepalen, zonder verplichtingen.
Veelgestelde vragen over AiTM-phishing en tokendiefstal
Wat is het verschil tussen gewone phishing en AiTM-phishing?
Bij gewone phishing steelt een aanvaller je wachtwoord om het later te gebruiken. Bij AiTM-phishing onderschept de aanvaller je volledige sessie in real time, inclusief de MFA-verificatie. Het wachtwoord hoeft hij niet eens te bewaren.
Beschermt MFA via de Microsoft Authenticator-app tegen deze aanvallen?
Niet als je alleen pushmeldingen of codes gebruikt. De oplossing is om passkeys in te schakelen binnen de Authenticator-app. Dan wordt je telefoon een phishing-resistente FIDO2-authenticator.
Wat kosten hardware security keys?
Een YubiKey kost tussen de 50 en 70 euro per stuk. Voor veel organisaties volstaat het om beheerders en hoogrisico-gebruikers uit te rusten met hardware keys, terwijl overige medewerkers passkeys op hun smartphone gebruiken.
Hoe snel kan een aanvaller schade aanrichten na tokendiefstal?
Binnen enkele minuten. Aanvallers registreren vaak direct nieuwe MFA-methodes om blijvende toegang te behouden, of starten Business Email Compromise-aanvallen richting je contacten.
Kan ik subsidie krijgen voor een Microsoft 365-audit?
Ja. Via de KMO-portefeuille ontvangen kleine ondernemingen 45% subsidie en middelgrote ondernemingen 35% subsidie op cybersecurity-advies, tot een maximum van €7.500 per jaar. Cyberplan is erkend dienstverlener voor deze regeling.
Valt mijn bedrijf onder NIS2 of DORA?
NIS2 geldt voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. DORA richt zich op de financiële sector én hun ICT-leveranciers. Een gap-analyse brengt in kaart welke verplichtingen voor jouw organisatie gelden.
