Ethical hackers Rutger Flohil en Bob van der Staak, beiden werkzaam bij de NS, delen hun expertise over moderne aanvalstechnieken en hoe organisaties zich daartegen kunnen beschermen.
In een tijd waarin cybersecurity steeds complexer wordt, blijft phishing verantwoordelijk voor ongeveer 60% van alle succesvolle cyberaanvallen. Maar de technieken worden steeds geavanceerder. Van adversary-in-the-middle aanvallen die zelfs multi-factor authenticatie omzeilen, tot geautomatiseerde systemen die binnen seconden persistence creëren op meerdere platforms.
Luister (en kijk) elke week door je te abonneren via: Spotify, Apple Podcasts, YouTube of een andere dienst.
Rutger Flohil en Bob van der Staak werken als red teamers en voeren aanvalssimulaties uit om organisaties te testen. In deze aflevering van Techzine Talks leggen ze uit hoe moderne aanvallen werken, waarom veel beveiligingsmaatregelen onvoldoende zijn, en welke strategieën organisaties moeten implementeren om zich effectief te beschermen.
Red teaming versus traditioneel hacken
Red teaming gaat verder dan traditioneel security onderzoek. Waar ethical hackers zich richten op het vinden van technische kwetsbaarheden in applicaties, simuleert red teaming complete aanvalsscenario’s zoals die door criminelen, tieners of zelfs staatactoren worden uitgevoerd.
“Bij een normale hack-aanval proberen we een applicatie in lek te vinden,” legt Flohil uit. “Bij red teaming is juist de eerste stap, binnenkomen via een persoon en via een phishing actie. Maar dan stopt het voor ons niet. Dan gaan we kijken hoe we verder kunnen doorbreken binnen je organisatie.”
Beide red teamers benadrukken dat hun werk altijd binnen strikte regels van engagement plaatsvindt. Bedrijven hebben responsible disclosure beleid met duidelijke grenzen. Phishing en social engineering mogen alleen binnen gecontroleerde simulaties, nooit ongeautoriseerd bij externe organisaties.
Adversary-in-the-middle: MFA is niet genoeg
Een van de meest verontrustende technieken die de red teamers bespreken is adversary-in-the-middle (AITM). Deze aanvalsmethode, die al ongeveer 10 jaar bestaat maar nu steeds populairder wordt, kan zelfs multi-factor authenticatie omzeilen.
Van der Staak legt het mechanisme uit: “Je bouwt een webapplicatie waarbij je de inlogpogingen van een persoon doorproxied naar een andere website. Als wij als doel hebben om mensen hun gegevens te verkrijgen van Microsoft, dan maken wij een website die zich voordoet als Microsoft en eigenlijk alle data doorsluist naar Microsoft zelf.”
Het slinkse van deze techniek is dat de gebruiker een volledig authentieke Microsoft-inlogpagina ziet, compleet met correcte foutmeldingen en MFA-prompts. De proxy stuurt alles door naar het echte Microsoft-platform. Wanneer de gebruiker zijn MFA-code invoert of een push-notificatie goedkeurt, onderschept de aanvaller de sessietoken.
“En op dat moment hebben we eigenlijk toegang tot de applicatie waarmee we dit trucje hebben uitgehaald,” aldus Van der Staak. Het probleem: de gebruiker wordt niet daadwerkelijk ingelogd, wat vaak de eerste indicator is dat er iets mis is.
Binnen 7 seconden blijvende toegang
De snelheid waarmee geautomatiseerde aanvallen persistence creëren is alarmerend. De red teamers hebben gesimuleerd dat ze binnen zeven seconden na het kapen van een sessie toegang hebben gecreëerd op meerdere platforms en Outlook-regels hebben aangemaakt die waarschuwingsmails automatisch archiveren.
“Dus zelfs als iemand dan inderdaad zijn sessie kilt en zijn wachtwoord wijzigt, hebben we nog steeds bijvoorbeeld de SSH-keys in je Azure DevOps-platform, waarmee we namens jou kunnen inloggen,” legt Flohil uit. Dit betekent dat het simpelweg resetten van een wachtwoord volledig onvoldoende is na een succesvolle phishing-aanval.
Het probleem met Microsoft-domeinnamen
Een verrassend discussiepunt is de inconsistentie in Microsoft’s domeinnamen. Voor zakelijke inloggen gebruikt Microsoft login.microsoftonline.com, terwijl persoonlijke accounts niet zolang geleden nog account.live.com gebruikte. Andere diensten draaien op techcommunity.microsoft.com of microsoft.cloud.
“Tijdens presentaties hebben we wel eens multiple choice gehad van welke is het? Dan staat er ook letterlijk een neppe tussen met zo’n schuin streepje. Je kan het zien, maar vooral van een afstandje of op je telefoon, is het gewoon niet zo goed zichtbaar,” zegt Van der Staak.
Deze variatie maakt typosquatting, het registreren van misleidend gelijkende domeinnamen, veel effectiever. Aanvallers kunnen internationale domeinnamen met subtiele karakterverschillen gebruiken (punycoding), zoals een i met een accent, die in browsers vrijwel identiek ogen aan het origineel.
“De vraag is waarom het niet gewoon overal login.microsoft.com is,” merkt Flohil op. “We hebben geen idee waarom ze niet hier iets van standaardisatie hebben. Dat zou het veel logischer maken.” De red teamers wijzen erop dat dit een fundamenteel probleem is dat Microsoft zou moeten aanpakken.
Welke MFA-methoden zijn wel veilig?
Als traditionele MFA-codes en push-notificaties kwetsbaar zijn voor AITM-aanvallen, wat werkt dan wel? De red teamers noemen phishing-resistant MFA-methoden zoals FIDO keys (USB-beveiligingssleutels) als meest effectieve optie.
“Het is een fysieke factor,” legt Flohil uit. Het nadeel is gebruikersgemak: je moet de USB-stick in je apparaat steken, ook op je telefoon, wat extra gedoe betekent. Als je de key verliest, heb je hopelijk een backup.
Een nieuwer alternatief zijn passkeys, die relatief makkelijker zijn en ook goede bescherming bieden. “Die zijn vaak gekoppeld aan de domeinnaam, dus dan is die typosquatting niet meer mogelijk. Dan werkt hij gewoon niet,” aldus Van der Staak. Het probleem is dat implementatie traag verloopt, vooral bij grote organisaties.
Conditional access policies
Naast betere authenticatiemethoden kunnen organisaties conditional access policies implementeren bij Microsoft. Deze kijken naar factoren als IP-adres, apparaat-compliance, tijdstip en gedragsherkenning. Een compliant, geregistreerd apparaat is volgens de red teamers “verreweg de sterkste” maatregel.
De uitdaging is de balans tussen security en bruikbaarheid. Te strenge regels leiden tot gebruikersfrustratie en workarounds. “Je zoekt een balans in veiligheid en bruikbaarheid,” stelt Flohil.
Security awareness: melden, niet shamen
Een cruciaal punt dat de red teamers maken is dat security awareness niet moet gaan over het beschuldigen van mensen die op een phishing-link klikken. “Een boodschap die we vaak proberen te brengen is dat het niet per se erg is. Het is natuurlijk heel erg vervelend, maar dat mensen zich bewust worden van dat ze dat dan moeten melden,” zegt Flohil.
Resultaten van phishing-simulaties worden op team- of afdelingsniveau gedeeld, nooit op individueel niveau. “Het is nooit: kom jij maar even hier, we gaan het even hebben over waarom je op die link hebt geklikt,” benadrukt Van der Staak.
De phishing-mails worden ook steeds professioneler. “Ik heb zelf ook al gezien dat de phishing e-mails het afgelopen jaar steeds beter worden. Dat je zelf ook af en toe denkt van, het is wel vreemd dit,” aldus Flohil.
Standaardhygiëne verbeteren
Basis security-hygiëne blijft essentieel. De AIVD adviseert om af te stappen van maandelijks wisselende wachtwoorden, een praktijk die leidt tot voorspelbare patronen. “Ga niet roleren of roteren. Mensen gaan dan trucjes doen. Nemen exact hetzelfde wachtwoord en die delen ze dan vaak ook nog met een ander woordje erachter om de dienst aan te merken,” waarschuwt Van der Staak.
In plaats daarvan: sterke, lange passphrases die alleen worden gewijzigd bij een daadwerkelijk lek, gecombineerd met adequate monitoring.
Conclusie: gelaagde verdediging nodig
De inzichten van deze red teamers maken duidelijk dat geen enkele beveiligingsmaatregel perfect is. Zelfs MFA kan worden omzeild. De oplossing ligt in gelaagde verdediging: betere authenticatiemethoden (FIDO keys, passkeys), conditional access policies, proactieve detectie, en een cultuur waarin mensen zich veilig voelen om phishing te melden.
“Je wilt gewoon niet de traagste zijn in de race,” vat Flohil samen. “Hoe moeilijker je het maakt, hoe onwaarschijnlijker dat je slachtoffer wordt van een algemene phishing campagne.” Voor gerichte aanvallen van staatactoren is bijna geen organisatie volledig beschermd, maar voor de overgrote meerderheid van aanvallen maken de juiste maatregelen het verschil. Organisaties moeten investeren in zowel technische verdediging als menselijke weerbaarheid.
Podcastspeler
Bovenaan deze pagina staat de link naar de aflevering van Techzine Talks op YouTube. Wil je liever hier in de browser luisteren, dan kan dat hieronder.
Eerdere afleveringen van Techzine Talks:
- MDR in 2026 is meer dan alleen alerts afhandelen
- Van 10 minuten naar 30 seconden: Aaltra maakt IoT-applicaties bruikbaar
- Techzine Talks jaaroverzicht 2025: AI-doorbraken, mega-overnames en trends
- OpenAI-deal voor DRAM zet wereldwijde elektronicaprijzen onder druk
- Geografische data en AI: goede combinatie voor steeds meer organisaties
Techzine Talks seizoen 6
Coen en Sander maken sinds medio 2021 dé Enterprise IT-podcast van Nederland en België. De afgelopen jaren verscheen er zo goed als elke week een nieuwe aflevering van Techzine Talks. In 2026 gaan we hiermee door en informeren we luisteraars over de laatste IT-ontwikkelingen, de belangrijkste informatie rondom techevents maar duiden we ook nieuwe IT-trends. Je kan elke week een nieuwe podcast verwachten.
Steun ons!
We hopen uiteraard dat je ons als luisteraar steunt! Dat doe je door je te abonneren, afleveringen te delen en ons te beoordelen via Apple iTunes, YouTube of Spotify. Vijf sterren of een duimpje omhoog ontvangen we graag! Ook staan we open voor feedback en je mag ons altijd ideeën sturen voor onderwerpen.
Meedoen?
Ben je een expert in een bepaald IT-vakgebied en wil je graag je kennis delen met onze luisteraars? Of heeft je organisatie de nieuwste en meest innovatieve IT-oplossing in huis? Neem contact op, dan bespreken we graag wat de mogelijkheden zijn.