De wereld van cyberdreigingen verandert voortdurend en wordt steeds geavanceerder. Een van de nieuwste en gevaarlijkste vormen van phishing is de Adversary-in-the-Middle (AitM) techniek. Deze aanvalsmethode richt zich niet alleen op het misleiden van gebruikers, maar maakt gebruik van geavanceerde technieken om inloggegevens, sessie informatie en zelfs multifactor authenticatiecodes te onderscheppen. In dit artikel onderzoeken we hoe AitM phishing werkt, welke impact het heeft op bedrijven en hoe organisaties zich kunnen beschermen tegen deze dreiging. Daarnaast wordt de rol van Phishing-as-a-Service (PhaaS) besproken, die het voor cybercriminelen gemakkelijker maakt om dergelijke aanvallen uit te voeren.
Wat is AitM phishing en hoe werkt het?
AitM phishing is een geavanceerde vorm van phishing waarbij de aanvaller zich tussen de gebruiker en een legitieme service plaatst. In plaats van een nepwebsite te gebruiken om inloggegevens te stelen, fungeert de aanvaller als tussenpersoon die de communicatie tussen de gebruiker en de echte service onderschept. Wanneer de gebruiker hun inloggegevens en MFA codes invoert op de phishingpagina, worden deze gegevens in real time doorgestuurd naar de echte service. De aanvaller vangt vervolgens de sessiecookie op die wordt teruggestuurd door de service, waardoor ze toegang krijgen tot de account van de gebruiker zonder verdere authenticatie.
Wat deze techniek bijzonder gevaarlijk maakt, is dat de gebruiker vaak niet doorheeft dat ze slachtoffer zijn van een aanval. De nep pagina ziet eruit als de echte inlogpagina van bijvoorbeeld Microsoft 365 of Google, en de gebruiker voert gewoon hun gegevens in zoals ze dat normaal zouden doen. Pas later, wanneer de aanvaller de sessie overneemt, worden de gevolgen zichtbaar. Dit maakt AitM phishing moeilijker te detecteren dan traditionele phishingaanvallen.
De rol van Phishing-as-a-Service in AitM aanvallen
Phishing-as-a-Service (PhaaS) is een model dat de toegang tot geavanceerde phishingtechnieken vergemakkelijkt voor cybercriminelen, inclusief degenen zonder diepgaande technische kennis. PhaaS biedt kant en klare phishingkits aan, die vaak worden verkocht via privékanalen zoals Telegram. Deze kits bieden alles wat nodig is voor een succesvolle AitM aanval, van phishingpagina’s en reverse proxies tot anti bottechnologieën die helpen de aanval te verbergen voor detectiesystemen.
Het PhaaS model verlaagt de drempel voor cybercriminelen om AitM phishing uit te voeren. Voor een maandelijks abonnement kunnen zij eenvoudig gebruik maken van professionele aanvalsinfrastructuren en tools die normaliter alleen beschikbaar zouden zijn voor gevorderde hackers. Deze diensten worden vaak verkocht via een abonnement, waarbij prijzen variëren van $100 tot $1000 per maand, afhankelijk van de functionaliteit en de mate van ondersteuning die geboden wordt.
Deze schaalbaarheid heeft geresulteerd in een explosie van AitM aanvallen, aangezien cybercriminelen zonder uitgebreide technische kennis snel toegang kunnen krijgen tot geavanceerde aanvallen. De beschikbaarheid van Phishing-as-a-Service heeft AitM phishing veel toegankelijker gemaakt, waardoor het voor een bredere groep aanvallers mogelijk is geworden om deze technieken toe te passen.
Veelvoorkomende technieken en kits in AitM phishing
De technologische basis van AitM phishing wordt vaak geleverd door verschillende phishingkits die beschikbaar zijn op de PhaaS markt. Enkele van de bekendste kits zijn Tycoon 2FA, EvilProxy, Storm-1167 en NakedPages. Elk van deze kits maakt gebruik van geavanceerde technieken om de gebruiker te misleiden en hun gegevens te stelen.
Een van de meest gebruikte technieken is het gebruik van reverse proxyservers. Deze servers fungeren als tussenpersoon, waardoor de aanvaller in staat is om de communicatie tussen de gebruiker en de legitieme website te onderscheppen en door te sturen. Het gebruik van een reverse proxy maakt de aanval moeilijker te detecteren, omdat de gebruiker nog steeds denkt dat ze communiceren met de echte website.
Daarnaast maken veel van deze phishingkits gebruik van anti bottechnologieën zoals CAPTCHA pagina’s, die ontworpen zijn om geautomatiseerde scanners te blokkeren. Dit helpt de aanvaller om hun phishingpagina’s onopgemerkt te laten blijven, zelfs wanneer ze worden gecontroleerd door automatische beveiligingssystemen. Sommige kits, zoals EvilProxy, maken gebruik van aangepaste reCAPTCHA pagina’s, terwijl andere, zoals Tycoon 2FA, een geheel eigen anti botsysteem implementeren.
De kits bieden ook de mogelijkheid om sessies in real time over te nemen door gegevens direct door te sturen naar de legitieme service, wat de aanval nog moeilijker te detecteren maakt. De verscheidenheid aan beschikbare technieken en kits maakt het voor aanvallers gemakkelijker dan ooit om succesvolle AitM phishingcampagnes uit te voeren.
Gevolgen van AitM phishing en hoe organisaties zich kunnen beschermen
De gevolgen van een succesvolle AitM phishingaanval kunnen ernstig zijn. Wanneer aanvallers toegang krijgen tot een Microsoft 365 account of een andere cloudgebaseerde service, kunnen ze toegang krijgen tot bedrijfsgevoelige informatie zoals emails, documenten en zelfs interne communicatie. Dit opent de deur naar Business Email Compromise (BEC), waarbij aanvallers zich voordoen als medewerkers om frauduleuze financiële transacties te initiëren, valse facturen te versturen of vertrouwelijke informatie te stelen.
In sommige gevallen kunnen AitM aanvallen ook worden gebruikt om ransomware te verspreiden, doordat aanvallers toegang krijgen tot een netwerk via een gehackt account en vervolgens malware installeren. Dit kan leiden tot bedrijfsstilstand, aanzienlijke financiële verliezen en reputatieschade. Het herstel van een dergelijke aanval kan dagen of zelfs weken duren, met een enorme kostenpost voor het getroffen bedrijf.
De bescherming tegen AitM phishing vereist een gelaagde beveiligingsaanpak. Een belangrijke verdedigingslinie is het gebruik van multifactor authenticatie (MFA), maar zelfs dit is niet altijd voldoende, omdat AitM aanvallen gericht zijn op het onderscheppen van MFA codes. Daarom is het essentieel om aanvullende beveiligingsmaatregelen te implementeren, zoals het monitoren van authenticatielogs en het analyseren van netwerkverkeer op verdachte activiteiten.
Daarnaast moeten bedrijven hun medewerkers bewust maken van de risico’s van phishing en de specifieke tactieken die door cybercriminelen worden gebruikt. Het trainen van personeel om phishingpogingen te herkennen is essentieel om het risico op succes van deze aanvallen te verkleinen. Ook het versterken van emailbeveiliging, zoals het implementeren van anti phishingtechnologieën en het blokkeren van verdachte bijlagen, kan helpen om AitM aanvallen te voorkomen.
De toekomst van AitM phishing en verdedigingstechnieken
De toekomst van AitM phishing ziet er zorgwekkend uit, vooral gezien de voortdurende evolutie van phishingtechnieken en de steeds professionelere phishingdiensten die beschikbaar komen. De opkomst van Phishing-as-a-Service heeft de dreiging versterkt, aangezien het cybercriminelen met beperkte technische vaardigheden mogelijk maakt om geavanceerde aanvallen uit te voeren.
Om deze dreiging het hoofd te bieden, moeten organisaties zich blijven aanpassen aan de nieuwste beveiligingsstandaarden en technologieën. Het gebruik van geavanceerde machine learning modellen voor het detecteren van verdachte activiteiten, evenals het versterken van de algehele netwerkbeveiliging, zal essentieel zijn om de impact van AitM phishing aanvallen te beperken.
Daarnaast is samenwerking tussen bedrijven en beveiligingsprofessionals cruciaal voor het identificeren van nieuwe aanvalsmethoden en het delen van informatie over opkomende dreigingen. Een gezamenlijke aanpak kan helpen om AitM phishing in de toekomst te bestrijden en te voorkomen dat cybercriminelen deze krachtige aanvalstechniek gebruiken voor financiële winst en schade aan de reputatie van bedrijven.
Heb je advies of hulp nodig? Digiweerbaar.nl
Wat is?
-
AitM phishing (Adversary-in-the-Middle phishing):
Wat is? AitM phishing is een type cyberaanval waarbij de aanvaller zich tussen de gebruiker en een legitieme website plaatst om gegevens zoals wachtwoorden en MFA-codes te onderscheppen en te stelen, zonder dat de gebruiker het door heeft. -
Phishing-as-a-Service (PhaaS):
Wat is? Phishing-as-a-Service is een model waarbij cybercriminelen kant enklare phishingkits huren of kopen om snel en eenvoudig phishingaanvallen uit te voeren. Dit verlaagt de technische drempel voor aanvallers, zodat ze zonder veel kennis geavanceerde aanvallen kunnen uitvoeren. -
Reverse proxy:
Wat is? Een reverse proxy is een server die als tussenpersoon fungeert tussen een gebruiker en de server van een website. In AitM phishing gebruikt de aanvaller een reverse proxy om de communicatie van de gebruiker door te sturen naar de echte website, terwijl de aanvaller in staat is om de gegevens van de gebruiker te onderscheppen. -
Multi Factor Authentication (MFA):
Wat is? MFA is een beveiligingsmaatregel waarbij de gebruiker twee of meer manieren moet gebruiken om zichzelf te identificeren bij het inloggen, bijvoorbeeld een wachtwoord en een vingerafdruk. AitM phishing kan MFA omzeilen door de sessie van de gebruiker over te nemen. -
Business Email Compromise (BEC):
Wat is? BEC is een type cyberaanval waarbij aanvallers zich voordoen als een medewerker binnen een bedrijf en proberen financiële fraude te plegen, bijvoorbeeld door valse facturen te sturen of geld over te maken naar hun eigen rekening. -
Reverse proxyservers:
Wat is? Dit zijn servers die de verzoeken van gebruikers ontvangen en deze doorsturen naar de echte server. In de context van AitM phishing worden ze gebruikt om de aanvaller tussen de gebruiker en de echte website te plaatsen, waardoor de aanvaller gegevens kan onderscheppen. -
CAPTCHA:
Wat is? CAPTCHA is een beveiligingsmaatregel die ervoor zorgt dat een gebruiker geen automatische software (bot) is. Het toont vaak een test, zoals het herkennen van vervormde letters of cijfers. Phishingkits gebruiken CAPTCHA pagina’s om te voorkomen dat beveiligingssoftware hun nepwebsites detecteert. -
MFA bypass:
Wat is? MFA bypass verwijst naar technieken die worden gebruikt om de extra beveiliging van multi-factor authenticatie te omzeilen. AitM phishing-aanvallen kunnen MFA bypass gebruiken om toegang te krijgen tot accounts zonder dat de gebruiker aanvullende beveiligingsmaatregelen hoeft te nemen.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer recente artikelen van Cybercrimeinfo
cPanel 44.000 installaties gecompromitteerd, ShinyHunters lekt Aman Resorts en Raptor Supplies Wemeldinge op darkweb
In de periode van 1 mei tot en met 3 mei 2026 bevestigde de Shadowserver Foundation dat minimaal 44.000 IP-adressen van cPanel installaties actief zijn gescand na exploitatie van CVE-2026-41940, met op 1 mei alleen al meer dan vijftienduizend nieuwe kwaadaardige cPanel hosts in één dag. Op hetzelfde moment publiceerde ShinyHunters de gegevens van 215.600 gasten van luxehotelgroep Aman Resorts en bevestigde Canonical een aanhoudende DDoS aanval op de Ubuntu webinfrastructuur door de Iran gelinkte groep 313 Team. Onderzoekers van Check Point Research en Halcyon maakten bekend dat de VECT 2.0 ransomware in de praktijk als wiper functioneert, waardoor bestanden onherstelbaar vernietigd worden zelfs na betaling van losgeld. Cybercrimeinfo ontdekte op het darkweb dat de criminele groep FulcrumSec gestolen data publiceert van Raptor Supplies, een Britse leverancier met een Nederlandse vestiging in Wemeldinge. Nieuw verschenen ransomwaregroep CMD Organization postte zijn eerste twee slachtoffers in een veilingformaat. En het Martini Ziekenhuis in Groningen bevestigde na drie weken volledig herstel van het patiëntenportaal Mijn Martini, getroffen door de ransomware aanval op EPD leverancier ChipSoft op 7 april.
Kifid kantelt aansprakelijkheid bij bankhelpdeskfraude, Kanters Lieshout gehackt en AI coderingstools blijven dominant risico
De woensdag en donderdag van 29 en 30 april 2026 leverden drie ontwikkelingen op die de afgelopen weken in een ander licht stellen. Het Kifid heeft de drempel voor "grof nalatig" bij bankhelpdeskfraude fors hoger gelegd, banken zijn voortaan vaker zelf aansprakelijk en moeten in beginsel het volledige niet toegestane bedrag terugbetalen, terwijl Belgische politiezones Minos, Rupel en Hekla infoavonden organiseren tegen een aanhoudende stijging van meldingen. Cybercrimeinfo verifieerde een tip over de overgenomen website van waterspecialist Kanters Lieshout, waar een opportunistische actor 0,1 bitcoin afpersing eist via Twitter contact, een ander profiel dan de gevestigde ransomwaregroepen die NL en BE de afgelopen weken raakten. En na de eerdere PocketOS-database-vernietiging in S02E51 zijn er nu vier nieuwe AI tool incidenten op een week tijd, Cursor met een onopgeloste extensiekwetsbaarheid (CursorJacking, CVSS 8.2), Jerry's Store dat zelf 345.000 creditcards openbaarde via een AI vibecoding fout, een gepatchte Gemini CLI met CVSS 10.0 score, en staatssecretaris Aerdts (Digitale Economie) die formeel waarschuwt tegen autonome AI assistenten zoals OpenClaw op systemen met persoonsgegevens. Daarnaast breidde de Mini Shai-Hulud campagne van TeamPCP uit van vier SAP CAP npm pakketten naar PyTorch Lightning op PyPI plus intercom-client en intercom-php op Packagist, vier ecosystemen tegelijk binnen 36 uur.
Gezocht: koerier na bankhelpdeskfraude in Veenendaal en Almere
Een vrouw uit Veenendaal werd op 27 februari 2026 slachtoffer van bankhelpdeskfraude. Een nepbankmedewerker belde haar op, waarna een koerier aan de deur kwam en haar gouden ringen, gouden kettingen, contant geld en bankpas meenam. Met de buitgemaakte pinpas werd vervolgens gepind in winkels en bij geldmaten in Veenendaal en Almere. In totaal werd ruim 5.500 euro afhandig gemaakt. De politie zoekt de verdachte koerier.
Apt73 raakt twee Belgische organisaties, ChipSoft claimt data vernietigd en LiteLLM actief misbruikt
De maandag en dinsdag van 27 en 28 april 2026 leverden drie ontwikkelingen op die de discussie van de afgelopen weken doortrekken. De ransomwaregroep Apt73 plaatste op een dag twee Belgische organisaties op het lekplatform, een Oost-Vlaams staalbedrijf en een Waalse zorggroep met meerdere ziekenhuizen. ChipSoft meldde dat de eerder deze maand gestolen patiëntengegevens niet zijn gepubliceerd en volgens eigen onderzoek zijn vernietigd, een claim die volledig leunt op de mededeling van de aanvaller. En de open source LLM proxy LiteLLM wordt sinds ongeveer 36 uur na publieke disclosure actief misbruikt om API sleutels van OpenAI, Anthropic en Bedrock te stelen. Daarnaast bevestigde Vimeo een datalek via het analyseplatform Anodot, lekte LAPSUS$ 96 GB Checkmarx data ook via clearnet portals en werden tientallen Visual Studio Code extensies op Open VSX besmet met de GlassWorm credential stealer. Drie supply chain aanvallen op een week tijd, plus een data lek bij AI trainingsbedrijf Mercor van 4 TB stemopnamen gekoppeld aan paspoorten van 40.000 contractors.
ShinyHunters bij ADT en Udemy, DigiD blijft bij Solvinity en Palantir bij de Marechaussee
Het weekend van 24 tot en met 26 april 2026 leverde drie ontwikkelingen op die de discussie van eerdere weken doortrekken. ShinyHunters publiceerde binnen 24 uur twee grote slachtoffers, ADT en Udemy, beide via vishing tegen een SSO-account. Het kabinet besloot daarnaast om DigiD bij Solvinity te houden, ondanks Kamerverzet en een aangekondigde Amerikaanse overname. En WOO stukken openbaarden dat de Koninklijke Marechaussee jarenlang gebruik maakte van Palantir, terwijl de minister dat in een Kamerantwoord ontkende. Daarnaast staan in Nederland en België 3.793 Zimbra servers ongepatcht, voegde CISA vier actief misbruikte CVE's toe aan de Known Exploited Vulnerabilities catalogus en publiceerde Silverfort een privilege escalation in Microsoft Entra Agent ID die inmiddels is gepatcht.
ChipSoft ransomware, Rituals 41 miljoen en FIRESTARTER
Woensdag en donderdag brachten drie onwelkome waarheden voor Nederlandse en Belgische organisaties. Een Nederlandse zorgsoftware-leverancier onderhandelt met een ransomwaregroep over 100 GB aan patiëntdata, een bekend Nederlands cosmeticamerk verliest persoonsgegevens van 41 miljoen leden wereldwijd, en CISA onthult dat aanvallers via nieuwe FIRESTARTER-malware persistente toegang behouden tot Cisco-firewalls, ook nadat organisaties keurig patchen. Daarnaast waarschuwden de MIVD en NCSC-UK voor Chinese cyberoperaties, nadert de CISA KEV-deadline van 28 april voor SharePoint, Defender en beide Cisco ASA-CVE's, en openbaarde Socket een supply chain-aanval op de Checkmarx KICS Docker-images die CI/CD-pijplijnen wereldwijd raakt.
Reactie plaatsen
Reacties