← Terug naar blog
Security

AiTM-phishing en token-diefstal: waarom MFA alleen niet meer volstaat

Door Zarioh Digital Solutions6 min leestijd
Delen
AiTM-phishing en token-diefstal: waarom MFA alleen niet meer volstaat

Aanvallers stelen geen wachtwoorden meer — ze stelen sessietokens. AiTM-phishing omzeilt meerlaagse authenticatie terwijl uw medewerker gewoon een Microsoft-loginscherm ziet. Hoe het werkt, welke campagnes actief zijn in 2026 en hoe Token Protection in Conditional Access dit stopt.

Multifactor-authenticatie is jarenlang het standaardadvies geweest bij beveiligingsincidenten: zet MFA aan en uw accounts zijn beschermd. Dat klopt nog steeds voor een groot deel van de aanvallen — maar niet voor AiTM-phishing. AiTM staat voor adversary-in-the-middle: een aanvalsmethode waarbij de aanvaller zich tussen uw medewerker en de echte Microsoft-loginpagina plaatst, de volledige authenticatieuitwisseling in real time doorstuurt en de sessietoken die daarna wordt uitgegeven onderschept. Uw gebruiker ziet een geldig loginscherm, voert zijn code in en denkt dat alles in orde is. Intussen heeft de aanvaller volledige toegang tot het account.

Microsoft registreerde het afgelopen jaar een stijging van 146 procent in AiTM-aanvallen. In april 2026 werd een grootschalige campagne ontdekt die meer dan 35.000 gebruikers raakte bij ruim 13.000 organisaties in 26 landen. De aanval verliep via nep-e-mails over een 'code of conduct review' van de interne compliance-afdeling. Bijlagen leidden via meerdere omleidingen naar een nep-Microsoft-loginpagina die er identiek uitzag als de echte. Wie inlogde, gaf de aanvaller zonder het te weten zijn sessietoken cadeau.

Hoe AiTM-phishing MFA omzeilt

Bij een gewone phishing-aanval steelt de aanvaller uw wachtwoord. Met MFA ingeschakeld is dat wachtwoord alleen niet voldoende — de aanvaller heeft ook de verificatiecode nodig. AiTM lost dit op door de volledige loginprocedure live te proxyen. Uw medewerker typt zijn wachtwoord op de neppagina. Die pagina stuurt dat wachtwoord door naar de echte Microsoft-server. De echte server vraagt om een MFA-code. De neppagina vraagt die code ook aan uw medewerker. Zodra uw medewerker de code invult, stuurt de neppagina die door naar Microsoft. Microsoft geeft een sessietoken af. De neppagina onderschept die token. Uw medewerker krijgt een foutmelding of wordt doorgestuurd naar een onschuldige pagina. De aanvaller heeft de token en gebruikt die direct — vanaf een andere locatie, op een ander apparaat — voor volledige toegang tot mailbox, SharePoint en Teams.

Verificatiecodes via sms, een authenticator-app of e-mail bieden geen bescherming tegen deze methode. De aanval laat ook weinig spoor achter: de medewerker heeft legitiem ingelogd, op zijn eigen apparaat, en heeft zijn echte MFA-code ingevoerd. Alleen de bestemming van de sessietoken verschilt.

Tycoon2FA: phishing-as-a-service op grote schaal

AiTM-aanvallen zijn niet meer voorbehouden aan geavanceerde staatsactoren. Phishing-as-a-service platformen zoals Tycoon2FA, ontwikkeld door dreigingsactor Storm-1747, maken de aanvalsmethode toegankelijk voor elke crimineel met een beperkt budget. Het platform biedt een beheerdersdashboard waarmee aanvallers kant-en-klare phishingcampagnes kunnen opzetten gericht op Microsoft 365, Outlook en vergelijkbare diensten. CAPTCHA-schermen blokkeren geautomatiseerde analyse. Proxydiensten maskeren de herkomst van het verkeer. Iedere maand worden via Tycoon2FA tientallen miljoenen phishingberichten verstuurd naar meer dan 500.000 organisaties wereldwijd — van zorg tot finance tot het MKB.

Het gevaarlijkste aspect is dat gestolen sessietokens geldig blijven zelfs nadat een slachtoffer zijn wachtwoord heeft veranderd. Zolang de token niet expliciet is ingetrokken, heeft de aanvaller toegang. Sommige tokens zijn dagen tot weken geldig, afhankelijk van de configuratie van de tenant.

Waarom sessietokens zo waardevol zijn

Wanneer u inlogt bij Microsoft 365 geeft het systeem een reeks tokens af. De Primary Refresh Token is een langlevend token dat op uw apparaat wordt opgeslagen en waarmee het systeem nieuwe toegangstokens kan afgeven zonder dat u steeds opnieuw hoeft in te loggen. Een aanvaller die zo'n token bemachtigt, heeft in feite een geldige pas voor uw digitale werkplek — zonder uw wachtwoord te kennen, zonder uw apparaat te hebben en zonder uw MFA te voltooien. Tokens zijn bovendien overdraagbaar: ze zijn standaard niet gekoppeld aan het apparaat waarop ze werden aangemaakt. Een token die op uw laptop werd uitgegeven, kan door een aanvaller worden gebruikt op zijn server aan de andere kant van de wereld.

Token Protection in Conditional Access: de sleutelsetting

Token Protection is een sessiecontrole binnen Conditional Access die tokens koppelt aan het specifieke apparaat waarop de aanmelding plaatsvond. Een gebonden token werkt niet meer op een ander apparaat. De aanvaller kan de token onderscheppen, maar kan er niets mee doen.

U activeert Token Protection via het Entra-portaal, onder Conditional Access, als een nieuwe beleidsregel. De configuratie verloopt in drie stappen. Ten eerste, maak een nieuw Conditional Access-beleid aan en stel als doelbron in: Office 365 Exchange Online, Office 365 SharePoint Online en Microsoft Teams Services — dit zijn de diensten die Token Protection ondersteunen. Ten tweede, stel onder Sessie de optie 'Require token protection for sign-in sessions' in. Ten derde, scope het beleid aanvankelijk tot Windows-apparaten die Entra joined, hybrid joined of Entra registered zijn. Ondersteuning voor macOS en iOS is beschikbaar als preview.

De functie vereist Microsoft Entra ID P2-licenties. Voor organisaties die al Microsoft 365 Business Premium of E5 draaien, is P2 inbegrepen en hoeft er geen extra licentie te worden aangeschaft.

Continuous Access Evaluation: real-time intrekking

Een aanvullende beschermingslaag is Continuous Access Evaluation, kortweg CAE. Standaard heeft Microsoft 365 geen manier om een actieve sessie onmiddellijk te beëindigen zodra er iets verdachts wordt gedetecteerd — tokens blijven geldig tot ze verlopen, ook als het account al gecompromitteerd is. CAE lost dit op door Entra en de diensten zoals Exchange Online en SharePoint in real time te laten communiceren over de geldigheid van sessies.

Met CAE actief reageert de dienst onmiddellijk op signalen zoals een wachtwoordwijziging, een geblokkeerd account, een handmatige tokenintrekking via de beheerconsole, of een locatiewijziging die een Conditional Access-regel schendt. De sessie wordt beëindigd zonder te wachten tot de token afloopt. Dit reduceert het venster dat een aanvaller met een gestolen token heeft van uren of dagen tot minuten. CAE is standaard actief voor de meeste Microsoft 365-diensten, maar controleer in het Entra-portaal of de evaluatie ook voor uw tenant is ingeschakeld.

Phishingbestendige MFA sluit de resterende opening

Token Protection stopt token-replay aanvallen nadat een token is gestolen. Het voorkomt niet dat de aanmeldprocedure zelf via een AiTM-proxy verloopt. Daarvoor is phishingbestendige authenticatie nodig: methoden die cryptografisch zijn gekoppeld aan het domein van de echte dienst. Passkeys, FIDO2-beveiligingssleutels en Windows Hello for Business werken allemaal op dit principe. Een neppagina krijgt niets, omdat de sleutel weigert te authenticeren tegen een ander domein dan het origineel. Uw medewerker kan simpelweg niet worden misleid via een AiTM-proxy als phishingbestendige MFA is ingeschakeld.

De combinatie van phishingbestendige MFA en Token Protection sluit twee aanvalspaden tegelijk af. De aanval slaagt niet bij de poging, en ook als een aanvaller toch een token bemachtigt, werkt die token niet op een ander apparaat.

Vier acties die IT-teams nu uitvoeren

Ten eerste, activeer Token Protection via Conditional Access voor Exchange Online, SharePoint en Teams. Start in rapportage-modus om te zien welke aanmeldingen worden geraakt voordat u het beleid afdwingt. Ten tweede, verifieer of Continuous Access Evaluation actief is in uw Entra-portaal en stel een Conditional Access-beleid in dat aanmeldingen van onbeheerde apparaten of onbekende locaties beperkt. Ten derde, zorg dat Defender for Office 365 is ingesteld met Safe Links en Safe Attachments actief, en activeer Zero-hour Auto Purge voor berichten die na aflevering als verdacht worden geclassificeerd. Ten vierde, stel een procedure in voor het onmiddellijk intrekken van sessies en tokens zodra een verdacht aanmeldpatroon wordt gedetecteerd. Controleer de Entra Sign-in Logs wekelijks op onmogelijke reizen en aanmeldingen vanuit onbekende landen.

AiTM-phishing is geen theoretisch risico. De campagnes zijn actief, de kits zijn goedkoop en de doelwitten zijn organisaties van alle groottes en sectoren. De technische bescherming bestaat en is inzetbaar met een bestaande Microsoft 365 Business Premium-licentie. Het is een kwestie van configureren, niet van budget. Wilt u hulp bij het inrichten van Token Protection, het doorlichten van uw Conditional Access-beleid of het versterken van uw detectiecapaciteit? Neem contact op met Zarioh voor een concrete beoordeling van uw huidige beveiligingspositie.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen