Terug naar overzicht
11.03.26

MFA-tokendiefstal: zo werken hackers vandaag

Multi-Factor Authenticatie (MFA) is dé ultieme beveiligingslaag, want zonder je wachtwoord én je fysieke smartphone kan je niet inloggen. Veilig, toch? Helaas niet altijd. Hackers hebben intussen technieken ontwikkeld waarmee ze ook MFA kunnen misbruiken, zonder dat jij het merkt. In deze blog leggen we uit hoe je MFA-tokendiefstal voorkomt.

Hoe hackers MFA misbruiken zonder dat je iets merkt

Het scenario ziet er meestal onschuldig uit. Je krijgt een mail met een link om in te loggen, bijvoorbeeld om je mailbox te openen of een document te bekijken. Je klikt, vult je e-mailadres en wachtwoord in en krijgt netjes een MFA-verzoek op je smartphone. Alles lijkt normaal.

Wat je niet ziet: je logt niet in op Microsoft, maar op een perfect nagemaakte website van een hacker. Achter de schermen kopieert een hacker je e-mailadres, wachtwoord en MFA-code. Het gevolg? Jij bent ingelogd, maar de hacker ook. Zonder dat jij het merkt.

Waarom je niets verdacht merkt

Het feit dat je niets doorhebt, maakt deze aanval zo gevaarlijk. Je zit zelf gewoon in je mailbox of applicatie, dus voor jou lijkt alles normaal. Er verschijnt geen foutmelding, geen waarschuwing, geen blokkering.

Ondertussen kan de hacker:

  • Meekijken in je mailbox
  • Mailregels instellen
  • Wachtwoorden resetten
  • Toegang krijgen tot gekoppelde systemen zoals ERP, boekhouding of cloudapplicaties

Alles waar jij toegang toe hebt, heeft hij op dat moment ook.

“Maar MFA-codes zijn toch maar 30 seconden geldig?”

Klopt. Alleen is dit proces volledig geautomatiseerd. Er zit geen hacker ‘mee te typen’. Alles wat jij invult, wordt onmiddellijk doorgestuurd. Die paar seconden zijn meer dan genoeg. Eenmaal de hacker binnen is, heeft hij genoeg informatie om zijn plannen uit te voeren.

Dit type aanval noemen we ook wel man-in-the-middle: iemand zit letterlijk tussen jou en Microsoft, zonder dat je het ziet.

Hoe kan je MFA-tokendiefstal dan herkennen?

Alleen als je héél goed oplet, zie je kleine afwijkingen zoals een subtiele fout in de URL:

  • Een hoofdletter te veel
  • Een o die eigenlijk een 0 is
  • Een i vervangen door een 1

In de dagelijkse drukte valt dit amper op. Dat maakt deze aanvallen zo succesvol.

Extra alarmbel: MFA-verzoek zonder dat je inlogt

Krijg je een MFA-melding terwijl je zelf nergens probeert in te loggen? Dan is dat een zeer ernstig signaal.

Op dat moment is je wachtwoord gekend door hackers en proberen ze daarmee in te loggen. MFA is dan de enige blokkade. Hoog tijd om actie te ondernemen!

Wijzig onmiddellijk je wachtwoord. En gebruik dat wachtwoord nergens anders.

Bestaat er dan wél een oplossing?

Ja. Microsoft implementeerde recent een extra beveiligingslaag die dit type aanval actief blokkeert. Die controleert niet alleen of je MFA correct is, maar ook wie, waar en hoe die MFA-aanvraag gebeurt.

Tot voor kort zat deze bescherming alleen in exclusievere enterprise-licenties. Vandaag is ze ook beschikbaar voor KMO’s via Microsoft Defender Suite voor Microsoft 365 Business Premium (€ 8,70 per gebruiker per maand).

Op zoek naar de nodige security voor jouw KMO?

MFA blijft absoluut noodzakelijk. Maar het is geen wondermiddel meer. Hackers zijn ons opnieuw een stap voor. Daarom is bewustzijn belangrijk, maar ook technologie. Extra beveiligingslagen maken het verschil wanneer hackers een wachtwoord in handen krijgen binnen jouw organisatie.

Je denkt misschien dat jouw bedrijfsdata niet waardevol genoeg zijn voor hackers. Helaas zagen we al meerdere aanvallen van MFA-tokendiefstal. Bij bouwbedrijven, retailers en productiebedrijven hier in Vlaams Limburg. Het gebeurt niet elke dag, maar wel vaak genoeg om het risico niet langer te kunnen negeren.

Wil je weten hoe goed jouw Microsoft-omgeving vandaag beschermd is? Neem 2 minuten tijd en doe onze gratis test.