De jacht op inloggegevens van medewerkers is in volle gang. Hackers zijn in toenemende mate uit op toegang tot Microsoft Business Accounts, wachtwoordkluizen, bank- en creditcardrekeningen, crypto wallets en andere waardevolle accounts.
Nieuwe cijfers van cybersecuritybedrijf eSentire tonen een forse toename van identiteitsgedreven aanvallen. Tussen 2024 en het eerste kwartaal van 2025 voerde de Threat Response Unit (TRU) van eSentire 19.000 identiteitsgerelateerde cyberonderzoeken uit. Onder klanten van eSentire stegen dergelijke aanvallen met 156 procent ten opzichte van 2023. In het eerste kwartaal van 2025 vormden deze incidenten maar liefst 59 procent van alle bevestigde dreigingen.
Hackers kiezen steeds vaker voor een directe route: het verkrijgen van inloggegevens en sessiecookies via phishing of malware. Daarmee kunnen ze Business Email Compromise (BEC)-aanvallen uitvoeren, toegang krijgen tot bankrekeningen of cryptovaluta stelen. De dagen dat cybercriminelen hun weg moesten forceren via technische kwetsbaarheden lijken voorbij.
PhaaS-platforms rukken op
Een populaire methode is het gebruik van Phishing-as-a-Service (PhaaS)-platforms. Vooral Tycoon 2FA wint snel terrein en overtrof in 2025 concurrenten als Sneaky 2FA en EvilProxy. Voor bedragen tussen de 200 en 300 dollar per maand krijgen aanvallers toegang tot kant-en-klare phishingtools, templates, AitM-technologie om MFA te omzeilen, en ondersteuning bij het uitvoeren van aanvallen.
Een ander wapen in het arsenaal van hackers zijn infostealers zoals Lumma Stealer. Deze malware wordt als dienst verkocht op Russische fora en is verantwoordelijk voor miljoenen gestolen accounts. Lumma haalt wachtwoorden, sessiecookies, crypto-walletgegevens, browserextensies en documenten van geïnfecteerde systemen. Ondanks een gecoördineerde actie van de FBI en Microsoft in mei 2025 blijft het platform actief.
Infostealers bieden directe winstkansen
Op ondergrondse marktplaatsen worden infostealer-logs voor slechts tien dollar per stuk verkocht. Elke log bevat gegevens van één geïnfecteerde computer, vaak met tientallen inloggegevens. Platforms als Russian Market bieden zoek- en filteropties om snel specifieke doelwitten of typen accounts te vinden.
Volgens eSentire vertegenwoordigen infostealers momenteel 35 procent van alle gedetecteerde malwaredreigingen. De lage kosten, hoge effectiviteit en directe winstkansen maken identiteitsaanvallen bijzonder aantrekkelijk voor cybercriminelen.
eSentire waarschuwt dat deze trend voorlopig niet zal afnemen. Het bedrijf adviseert organisaties hun beveiliging te richten op phish-resistente authenticatie, Zero Trust-principes.