Wie zit er tussen jou en je wachtwoord? De gevaren van AitM phishing onthuld

Gepubliceerd op 11 juni 2025 om 20:24

De wereld van cyberdreigingen verandert voortdurend en wordt steeds geavanceerder. Een van de nieuwste en gevaarlijkste vormen van phishing is de Adversary-in-the-Middle (AitM) techniek. Deze aanvalsmethode richt zich niet alleen op het misleiden van gebruikers, maar maakt gebruik van geavanceerde technieken om inloggegevens, sessie informatie en zelfs multifactor authenticatiecodes te onderscheppen. In dit artikel onderzoeken we hoe AitM phishing werkt, welke impact het heeft op bedrijven en hoe organisaties zich kunnen beschermen tegen deze dreiging. Daarnaast wordt de rol van Phishing-as-a-Service (PhaaS) besproken, die het voor cybercriminelen gemakkelijker maakt om dergelijke aanvallen uit te voeren.

Wat is AitM phishing en hoe werkt het?

AitM phishing is een geavanceerde vorm van phishing waarbij de aanvaller zich tussen de gebruiker en een legitieme service plaatst. In plaats van een nepwebsite te gebruiken om inloggegevens te stelen, fungeert de aanvaller als tussenpersoon die de communicatie tussen de gebruiker en de echte service onderschept. Wanneer de gebruiker hun inloggegevens en MFA codes invoert op de phishingpagina, worden deze gegevens in real time doorgestuurd naar de echte service. De aanvaller vangt vervolgens de sessiecookie op die wordt teruggestuurd door de service, waardoor ze toegang krijgen tot de account van de gebruiker zonder verdere authenticatie.

Wat deze techniek bijzonder gevaarlijk maakt, is dat de gebruiker vaak niet doorheeft dat ze slachtoffer zijn van een aanval. De nep pagina ziet eruit als de echte inlogpagina van bijvoorbeeld Microsoft 365 of Google, en de gebruiker voert gewoon hun gegevens in zoals ze dat normaal zouden doen. Pas later, wanneer de aanvaller de sessie overneemt, worden de gevolgen zichtbaar. Dit maakt AitM phishing moeilijker te detecteren dan traditionele phishingaanvallen.

De rol van Phishing-as-a-Service in AitM aanvallen

Phishing-as-a-Service (PhaaS) is een model dat de toegang tot geavanceerde phishingtechnieken vergemakkelijkt voor cybercriminelen, inclusief degenen zonder diepgaande technische kennis. PhaaS biedt kant en klare phishingkits aan, die vaak worden verkocht via privékanalen zoals Telegram. Deze kits bieden alles wat nodig is voor een succesvolle AitM aanval, van phishingpagina’s en reverse proxies tot anti bottechnologieën die helpen de aanval te verbergen voor detectiesystemen.

Het PhaaS model verlaagt de drempel voor cybercriminelen om AitM phishing uit te voeren. Voor een maandelijks abonnement kunnen zij eenvoudig gebruik maken van professionele aanvalsinfrastructuren en tools die normaliter alleen beschikbaar zouden zijn voor gevorderde hackers. Deze diensten worden vaak verkocht via een abonnement, waarbij prijzen variëren van $100 tot $1000 per maand, afhankelijk van de functionaliteit en de mate van ondersteuning die geboden wordt.

Deze schaalbaarheid heeft geresulteerd in een explosie van AitM aanvallen, aangezien cybercriminelen zonder uitgebreide technische kennis snel toegang kunnen krijgen tot geavanceerde aanvallen. De beschikbaarheid van Phishing-as-a-Service heeft AitM phishing veel toegankelijker gemaakt, waardoor het voor een bredere groep aanvallers mogelijk is geworden om deze technieken toe te passen.

Veelvoorkomende technieken en kits in AitM phishing

De technologische basis van AitM phishing wordt vaak geleverd door verschillende phishingkits die beschikbaar zijn op de PhaaS markt. Enkele van de bekendste kits zijn Tycoon 2FA, EvilProxy, Storm-1167 en NakedPages. Elk van deze kits maakt gebruik van geavanceerde technieken om de gebruiker te misleiden en hun gegevens te stelen.

Een van de meest gebruikte technieken is het gebruik van reverse proxyservers. Deze servers fungeren als tussenpersoon, waardoor de aanvaller in staat is om de communicatie tussen de gebruiker en de legitieme website te onderscheppen en door te sturen. Het gebruik van een reverse proxy maakt de aanval moeilijker te detecteren, omdat de gebruiker nog steeds denkt dat ze communiceren met de echte website.

Daarnaast maken veel van deze phishingkits gebruik van anti bottechnologieën zoals CAPTCHA pagina’s, die ontworpen zijn om geautomatiseerde scanners te blokkeren. Dit helpt de aanvaller om hun phishingpagina’s onopgemerkt te laten blijven, zelfs wanneer ze worden gecontroleerd door automatische beveiligingssystemen. Sommige kits, zoals EvilProxy, maken gebruik van aangepaste reCAPTCHA pagina’s, terwijl andere, zoals Tycoon 2FA, een geheel eigen anti botsysteem implementeren.

De kits bieden ook de mogelijkheid om sessies in real time over te nemen door gegevens direct door te sturen naar de legitieme service, wat de aanval nog moeilijker te detecteren maakt. De verscheidenheid aan beschikbare technieken en kits maakt het voor aanvallers gemakkelijker dan ooit om succesvolle AitM phishingcampagnes uit te voeren.

Gevolgen van AitM phishing en hoe organisaties zich kunnen beschermen

De gevolgen van een succesvolle AitM phishingaanval kunnen ernstig zijn. Wanneer aanvallers toegang krijgen tot een Microsoft 365 account of een andere cloudgebaseerde service, kunnen ze toegang krijgen tot bedrijfsgevoelige informatie zoals emails, documenten en zelfs interne communicatie. Dit opent de deur naar Business Email Compromise (BEC), waarbij aanvallers zich voordoen als medewerkers om frauduleuze financiële transacties te initiëren, valse facturen te versturen of vertrouwelijke informatie te stelen.

In sommige gevallen kunnen AitM aanvallen ook worden gebruikt om ransomware te verspreiden, doordat aanvallers toegang krijgen tot een netwerk via een gehackt account en vervolgens malware installeren. Dit kan leiden tot bedrijfsstilstand, aanzienlijke financiële verliezen en reputatieschade. Het herstel van een dergelijke aanval kan dagen of zelfs weken duren, met een enorme kostenpost voor het getroffen bedrijf.

De bescherming tegen AitM phishing vereist een gelaagde beveiligingsaanpak. Een belangrijke verdedigingslinie is het gebruik van multifactor authenticatie (MFA), maar zelfs dit is niet altijd voldoende, omdat AitM aanvallen gericht zijn op het onderscheppen van MFA codes. Daarom is het essentieel om aanvullende beveiligingsmaatregelen te implementeren, zoals het monitoren van authenticatielogs en het analyseren van netwerkverkeer op verdachte activiteiten.

Daarnaast moeten bedrijven hun medewerkers bewust maken van de risico’s van phishing en de specifieke tactieken die door cybercriminelen worden gebruikt. Het trainen van personeel om phishingpogingen te herkennen is essentieel om het risico op succes van deze aanvallen te verkleinen. Ook het versterken van emailbeveiliging, zoals het implementeren van anti phishingtechnologieën en het blokkeren van verdachte bijlagen, kan helpen om AitM aanvallen te voorkomen.

De toekomst van AitM phishing en verdedigingstechnieken

De toekomst van AitM phishing ziet er zorgwekkend uit, vooral gezien de voortdurende evolutie van phishingtechnieken en de steeds professionelere phishingdiensten die beschikbaar komen. De opkomst van Phishing-as-a-Service heeft de dreiging versterkt, aangezien het cybercriminelen met beperkte technische vaardigheden mogelijk maakt om geavanceerde aanvallen uit te voeren.

Om deze dreiging het hoofd te bieden, moeten organisaties zich blijven aanpassen aan de nieuwste beveiligingsstandaarden en technologieën. Het gebruik van geavanceerde machine learning modellen voor het detecteren van verdachte activiteiten, evenals het versterken van de algehele netwerkbeveiliging, zal essentieel zijn om de impact van AitM phishing aanvallen te beperken.

Daarnaast is samenwerking tussen bedrijven en beveiligingsprofessionals cruciaal voor het identificeren van nieuwe aanvalsmethoden en het delen van informatie over opkomende dreigingen. Een gezamenlijke aanpak kan helpen om AitM phishing in de toekomst te bestrijden en te voorkomen dat cybercriminelen deze krachtige aanvalstechniek gebruiken voor financiële winst en schade aan de reputatie van bedrijven.

Heb je advies of hulp nodig? Digiweerbaar.nl

Wat is?

  • AitM phishing (Adversary-in-the-Middle phishing):
    Wat is? AitM phishing is een type cyberaanval waarbij de aanvaller zich tussen de gebruiker en een legitieme website plaatst om gegevens zoals wachtwoorden en MFA-codes te onderscheppen en te stelen, zonder dat de gebruiker het door heeft.

  • Phishing-as-a-Service (PhaaS):
    Wat is? Phishing-as-a-Service is een model waarbij cybercriminelen kant enklare phishingkits huren of kopen om snel en eenvoudig phishingaanvallen uit te voeren. Dit verlaagt de technische drempel voor aanvallers, zodat ze zonder veel kennis geavanceerde aanvallen kunnen uitvoeren.

  • Reverse proxy:
    Wat is? Een reverse proxy is een server die als tussenpersoon fungeert tussen een gebruiker en de server van een website. In AitM phishing gebruikt de aanvaller een reverse proxy om de communicatie van de gebruiker door te sturen naar de echte website, terwijl de aanvaller in staat is om de gegevens van de gebruiker te onderscheppen.

  • Multi Factor Authentication (MFA):
    Wat is? MFA is een beveiligingsmaatregel waarbij de gebruiker twee of meer manieren moet gebruiken om zichzelf te identificeren bij het inloggen, bijvoorbeeld een wachtwoord en een vingerafdruk. AitM phishing kan MFA omzeilen door de sessie van de gebruiker over te nemen.

  • Business Email Compromise (BEC):
    Wat is? BEC is een type cyberaanval waarbij aanvallers zich voordoen als een medewerker binnen een bedrijf en proberen financiële fraude te plegen, bijvoorbeeld door valse facturen te sturen of geld over te maken naar hun eigen rekening.

  • Reverse proxyservers:
    Wat is? Dit zijn servers die de verzoeken van gebruikers ontvangen en deze doorsturen naar de echte server. In de context van AitM phishing worden ze gebruikt om de aanvaller tussen de gebruiker en de echte website te plaatsen, waardoor de aanvaller gegevens kan onderscheppen.

  • CAPTCHA:
    Wat is? CAPTCHA is een beveiligingsmaatregel die ervoor zorgt dat een gebruiker geen automatische software (bot) is. Het toont vaak een test, zoals het herkennen van vervormde letters of cijfers. Phishingkits gebruiken CAPTCHA pagina’s om te voorkomen dat beveiligingssoftware hun nepwebsites detecteert.

  • MFA bypass:
    Wat is? MFA bypass verwijst naar technieken die worden gebruikt om de extra beveiliging van multi-factor authenticatie te omzeilen. AitM phishing-aanvallen kunnen MFA bypass gebruiken om toegang te krijgen tot accounts zonder dat de gebruiker aanvullende beveiligingsmaatregelen hoeft te nemen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Ccinfo Sekoia Io Global Analysis Of Adversary In The Middle Phishing Threats Pdf

PDF – 3,8 MB 262 downloads

Meer recente artikelen van Cybercrimeinfo

AI voert zelf de aanval uit en firewalls als ingang

Het cybernieuws van donderdag 2 en vrijdag 3 juli 2026 werd beheerst door één rode draad, aanvallers verschuilen zich achter wat organisaties juist zouden moeten vertrouwen. Onderzoekers documenteerden de eerste ransomware die volledig door een AI agent werd aangestuurd, terwijl gestolen inloggegevens van tienduizenden firewalls rechtstreeks aan ransomware werden gekoppeld. Tegelijk brak een reeks actief misbruikte lekken los aan de rand van het netwerk, van Citrix NetScaler tot Microsoft SharePoint. In eigen land stond een datalek bij een hogeschool bijna een jaar open, arresteerde de Belgische politie een negentienjarige als vermeend kopstuk van een phishingbende, en klonk de geopolitiek door in dronespionage en de zoektocht naar digitale soevereiniteit.

Lees meer »

Verdachte gezocht na bankhelpdeskfraude in Den Helder

Een 72-jarige vrouw uit Den Helder is slachtoffer geworden van bankhelpdeskfraude, waarbij een man haar geld, sieraden en andere waardevolle spullen bij haar thuis ophaalde. De politie heeft de zaak op 1 juli 2026 opnieuw onder de aandacht gebracht en toont camerabeelden van de verdachte en van de gestolen sieraden.

Lees meer »

Golf actief misbruikte lekken en AI als aanvalswapen

Het cybernieuws van dinsdag 30 juni en woensdag 1 juli 2026 stond in het teken van een golf kritieke kwetsbaarheden die nu daadwerkelijk worden misbruikt, van beheersoftware tot bedrijfsapplicaties. Daarnaast werd kunstmatige intelligentie op steeds meer manieren een aanvalsvlak, van browsers die zich laten ompraten tot verzonnen domeinen die aanvallers alvast registreren. In eigen land toonde De Nederlandsche Bank hoe hard de fraude in het betalingsverkeer groeit, terwijl de opsporing resultaat boekte en de geopolitiek opnieuw doorklonk in de spionage tegen overheden.

Lees meer »

Cyberoorlog nieuws

Op deze pagina vind je actueel cyberoorlog nieuws over staatshackers, hybride dreigingen, digitale aanvallen op infrastructuur en geopolitieke cyberdreigingen die relevant zijn voor Nederland en België.

Lees meer »

Opsporing nieuws

Op deze pagina vind je actueel opsporingsnieuws over cybercriminaliteit, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen. De nadruk ligt op Nederland, België en relevante internationale zaken.

Lees meer »

Russische jacht op Signal en een golf kritieke lekken

Het cybernieuws van zaterdag 27 tot en met maandag 29 juni 2026 liet drie sterke rode draden zien. De FBI, CISA en de Oekraïense veiligheidsdienst waarschuwden alle drie voor dezelfde Russische campagne die niet de versleuteling van Signal kraakt, maar gebruikers hun herstelsleutel laat afstaan. Tegelijk werd kunstmatige intelligentie zichtbaar als zowel wapen als doelwit, van gekaapte softwarepakketten die ontwikkelaars bestelen tot een schone projectmap die een AI codeassistent verleidt om zelf malware uit te voeren. Onder de oppervlakte liep een golf van kritieke kwetsbaarheden met publieke exploitcode, terwijl de Benelux werd geraakt door een datalek bij zeilsoftware en een aanhoudende aanval op hotels, en de opsporing en de geopolitiek opnieuw met elkaar verweven raakten rond Jaguar Land Rover.

Lees meer »

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.