De wereld van cyberdreigingen verandert voortdurend en wordt steeds geavanceerder. Een van de nieuwste en gevaarlijkste vormen van phishing is de Adversary-in-the-Middle (AitM) techniek. Deze aanvalsmethode richt zich niet alleen op het misleiden van gebruikers, maar maakt gebruik van geavanceerde technieken om inloggegevens, sessie informatie en zelfs multifactor authenticatiecodes te onderscheppen. In dit artikel onderzoeken we hoe AitM phishing werkt, welke impact het heeft op bedrijven en hoe organisaties zich kunnen beschermen tegen deze dreiging. Daarnaast wordt de rol van Phishing-as-a-Service (PhaaS) besproken, die het voor cybercriminelen gemakkelijker maakt om dergelijke aanvallen uit te voeren.
Wat is AitM phishing en hoe werkt het?
AitM phishing is een geavanceerde vorm van phishing waarbij de aanvaller zich tussen de gebruiker en een legitieme service plaatst. In plaats van een nepwebsite te gebruiken om inloggegevens te stelen, fungeert de aanvaller als tussenpersoon die de communicatie tussen de gebruiker en de echte service onderschept. Wanneer de gebruiker hun inloggegevens en MFA codes invoert op de phishingpagina, worden deze gegevens in real time doorgestuurd naar de echte service. De aanvaller vangt vervolgens de sessiecookie op die wordt teruggestuurd door de service, waardoor ze toegang krijgen tot de account van de gebruiker zonder verdere authenticatie.
Wat deze techniek bijzonder gevaarlijk maakt, is dat de gebruiker vaak niet doorheeft dat ze slachtoffer zijn van een aanval. De nep pagina ziet eruit als de echte inlogpagina van bijvoorbeeld Microsoft 365 of Google, en de gebruiker voert gewoon hun gegevens in zoals ze dat normaal zouden doen. Pas later, wanneer de aanvaller de sessie overneemt, worden de gevolgen zichtbaar. Dit maakt AitM phishing moeilijker te detecteren dan traditionele phishingaanvallen.
De rol van Phishing-as-a-Service in AitM aanvallen
Phishing-as-a-Service (PhaaS) is een model dat de toegang tot geavanceerde phishingtechnieken vergemakkelijkt voor cybercriminelen, inclusief degenen zonder diepgaande technische kennis. PhaaS biedt kant en klare phishingkits aan, die vaak worden verkocht via privékanalen zoals Telegram. Deze kits bieden alles wat nodig is voor een succesvolle AitM aanval, van phishingpagina’s en reverse proxies tot anti bottechnologieën die helpen de aanval te verbergen voor detectiesystemen.
Het PhaaS model verlaagt de drempel voor cybercriminelen om AitM phishing uit te voeren. Voor een maandelijks abonnement kunnen zij eenvoudig gebruik maken van professionele aanvalsinfrastructuren en tools die normaliter alleen beschikbaar zouden zijn voor gevorderde hackers. Deze diensten worden vaak verkocht via een abonnement, waarbij prijzen variëren van $100 tot $1000 per maand, afhankelijk van de functionaliteit en de mate van ondersteuning die geboden wordt.
Deze schaalbaarheid heeft geresulteerd in een explosie van AitM aanvallen, aangezien cybercriminelen zonder uitgebreide technische kennis snel toegang kunnen krijgen tot geavanceerde aanvallen. De beschikbaarheid van Phishing-as-a-Service heeft AitM phishing veel toegankelijker gemaakt, waardoor het voor een bredere groep aanvallers mogelijk is geworden om deze technieken toe te passen.
Veelvoorkomende technieken en kits in AitM phishing
De technologische basis van AitM phishing wordt vaak geleverd door verschillende phishingkits die beschikbaar zijn op de PhaaS markt. Enkele van de bekendste kits zijn Tycoon 2FA, EvilProxy, Storm-1167 en NakedPages. Elk van deze kits maakt gebruik van geavanceerde technieken om de gebruiker te misleiden en hun gegevens te stelen.
Een van de meest gebruikte technieken is het gebruik van reverse proxyservers. Deze servers fungeren als tussenpersoon, waardoor de aanvaller in staat is om de communicatie tussen de gebruiker en de legitieme website te onderscheppen en door te sturen. Het gebruik van een reverse proxy maakt de aanval moeilijker te detecteren, omdat de gebruiker nog steeds denkt dat ze communiceren met de echte website.
Daarnaast maken veel van deze phishingkits gebruik van anti bottechnologieën zoals CAPTCHA pagina’s, die ontworpen zijn om geautomatiseerde scanners te blokkeren. Dit helpt de aanvaller om hun phishingpagina’s onopgemerkt te laten blijven, zelfs wanneer ze worden gecontroleerd door automatische beveiligingssystemen. Sommige kits, zoals EvilProxy, maken gebruik van aangepaste reCAPTCHA pagina’s, terwijl andere, zoals Tycoon 2FA, een geheel eigen anti botsysteem implementeren.
De kits bieden ook de mogelijkheid om sessies in real time over te nemen door gegevens direct door te sturen naar de legitieme service, wat de aanval nog moeilijker te detecteren maakt. De verscheidenheid aan beschikbare technieken en kits maakt het voor aanvallers gemakkelijker dan ooit om succesvolle AitM phishingcampagnes uit te voeren.
Gevolgen van AitM phishing en hoe organisaties zich kunnen beschermen
De gevolgen van een succesvolle AitM phishingaanval kunnen ernstig zijn. Wanneer aanvallers toegang krijgen tot een Microsoft 365 account of een andere cloudgebaseerde service, kunnen ze toegang krijgen tot bedrijfsgevoelige informatie zoals emails, documenten en zelfs interne communicatie. Dit opent de deur naar Business Email Compromise (BEC), waarbij aanvallers zich voordoen als medewerkers om frauduleuze financiële transacties te initiëren, valse facturen te versturen of vertrouwelijke informatie te stelen.
In sommige gevallen kunnen AitM aanvallen ook worden gebruikt om ransomware te verspreiden, doordat aanvallers toegang krijgen tot een netwerk via een gehackt account en vervolgens malware installeren. Dit kan leiden tot bedrijfsstilstand, aanzienlijke financiële verliezen en reputatieschade. Het herstel van een dergelijke aanval kan dagen of zelfs weken duren, met een enorme kostenpost voor het getroffen bedrijf.
De bescherming tegen AitM phishing vereist een gelaagde beveiligingsaanpak. Een belangrijke verdedigingslinie is het gebruik van multifactor authenticatie (MFA), maar zelfs dit is niet altijd voldoende, omdat AitM aanvallen gericht zijn op het onderscheppen van MFA codes. Daarom is het essentieel om aanvullende beveiligingsmaatregelen te implementeren, zoals het monitoren van authenticatielogs en het analyseren van netwerkverkeer op verdachte activiteiten.
Daarnaast moeten bedrijven hun medewerkers bewust maken van de risico’s van phishing en de specifieke tactieken die door cybercriminelen worden gebruikt. Het trainen van personeel om phishingpogingen te herkennen is essentieel om het risico op succes van deze aanvallen te verkleinen. Ook het versterken van emailbeveiliging, zoals het implementeren van anti phishingtechnologieën en het blokkeren van verdachte bijlagen, kan helpen om AitM aanvallen te voorkomen.
De toekomst van AitM phishing en verdedigingstechnieken
De toekomst van AitM phishing ziet er zorgwekkend uit, vooral gezien de voortdurende evolutie van phishingtechnieken en de steeds professionelere phishingdiensten die beschikbaar komen. De opkomst van Phishing-as-a-Service heeft de dreiging versterkt, aangezien het cybercriminelen met beperkte technische vaardigheden mogelijk maakt om geavanceerde aanvallen uit te voeren.
Om deze dreiging het hoofd te bieden, moeten organisaties zich blijven aanpassen aan de nieuwste beveiligingsstandaarden en technologieën. Het gebruik van geavanceerde machine learning modellen voor het detecteren van verdachte activiteiten, evenals het versterken van de algehele netwerkbeveiliging, zal essentieel zijn om de impact van AitM phishing aanvallen te beperken.
Daarnaast is samenwerking tussen bedrijven en beveiligingsprofessionals cruciaal voor het identificeren van nieuwe aanvalsmethoden en het delen van informatie over opkomende dreigingen. Een gezamenlijke aanpak kan helpen om AitM phishing in de toekomst te bestrijden en te voorkomen dat cybercriminelen deze krachtige aanvalstechniek gebruiken voor financiële winst en schade aan de reputatie van bedrijven.
Heb je advies of hulp nodig? Digiweerbaar.nl
Wat is?
-
AitM phishing (Adversary-in-the-Middle phishing):
Wat is? AitM phishing is een type cyberaanval waarbij de aanvaller zich tussen de gebruiker en een legitieme website plaatst om gegevens zoals wachtwoorden en MFA-codes te onderscheppen en te stelen, zonder dat de gebruiker het door heeft. -
Phishing-as-a-Service (PhaaS):
Wat is? Phishing-as-a-Service is een model waarbij cybercriminelen kant enklare phishingkits huren of kopen om snel en eenvoudig phishingaanvallen uit te voeren. Dit verlaagt de technische drempel voor aanvallers, zodat ze zonder veel kennis geavanceerde aanvallen kunnen uitvoeren. -
Reverse proxy:
Wat is? Een reverse proxy is een server die als tussenpersoon fungeert tussen een gebruiker en de server van een website. In AitM phishing gebruikt de aanvaller een reverse proxy om de communicatie van de gebruiker door te sturen naar de echte website, terwijl de aanvaller in staat is om de gegevens van de gebruiker te onderscheppen. -
Multi Factor Authentication (MFA):
Wat is? MFA is een beveiligingsmaatregel waarbij de gebruiker twee of meer manieren moet gebruiken om zichzelf te identificeren bij het inloggen, bijvoorbeeld een wachtwoord en een vingerafdruk. AitM phishing kan MFA omzeilen door de sessie van de gebruiker over te nemen. -
Business Email Compromise (BEC):
Wat is? BEC is een type cyberaanval waarbij aanvallers zich voordoen als een medewerker binnen een bedrijf en proberen financiële fraude te plegen, bijvoorbeeld door valse facturen te sturen of geld over te maken naar hun eigen rekening. -
Reverse proxyservers:
Wat is? Dit zijn servers die de verzoeken van gebruikers ontvangen en deze doorsturen naar de echte server. In de context van AitM phishing worden ze gebruikt om de aanvaller tussen de gebruiker en de echte website te plaatsen, waardoor de aanvaller gegevens kan onderscheppen. -
CAPTCHA:
Wat is? CAPTCHA is een beveiligingsmaatregel die ervoor zorgt dat een gebruiker geen automatische software (bot) is. Het toont vaak een test, zoals het herkennen van vervormde letters of cijfers. Phishingkits gebruiken CAPTCHA pagina’s om te voorkomen dat beveiligingssoftware hun nepwebsites detecteert. -
MFA bypass:
Wat is? MFA bypass verwijst naar technieken die worden gebruikt om de extra beveiliging van multi-factor authenticatie te omzeilen. AitM phishing-aanvallen kunnen MFA bypass gebruiken om toegang te krijgen tot accounts zonder dat de gebruiker aanvullende beveiligingsmaatregelen hoeft te nemen.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer recente artikelen van Cybercrimeinfo
NB414: Basic-Fit en Booking gelekt, NIS2 officieel van start
Deze week bevestigde Booking.com een datalek met boekingsdetails van Nederlandse klanten en meldde Basic-Fit dat gegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de ChipSoft ransomwareaanval die 70 procent van de Nederlandse ziekenhuizen raakt via één leverancier. België zette de NIS2 wet op 18 april in werking voor 2.410 essentiële entiteiten en Nederland volgde met de Cyberbeveiligingswet voor 8.000 organisaties onder NCSC-toezicht. Aanvallers misbruikten actief een kritieke Nginx UI kwetsbaarheid en richtten zich op AI-coding-agents via GitHub. Eerder die week verspreidde de CPU-Z tool van CPUID zes uur lang malware, werd de Marimo kwetsbaarheid binnen tien uur na openbaarmaking misbruikt en toonde de FBI dat gewiste Signal berichten te herstellen zijn via de iPhone notificatiedatabase. In het bibliotheekdossier duiken we in ShinyHunters, de groep achter Odido, Ticketmaster en de recente Amtrak en McGraw Hill lekken. En de politie vraagt uw hulp bij het herkennen van twee pinners na bankhelpdeskfraude in Erp en Eindhoven.
Pinners gezocht na bankhelpdeskfraude in Erp en Eindhoven
Een 74-jarige vrouw werd op 18 december 2025 slachtoffer van bankhelpdeskfraude. Een vrouw belde haar als nepbankmedewerker en zei dat haar bankpas geskimd was. Diezelfde avond stond een koerier aan de deur die haar bankpas, sieraden, telefoon en identiteitskaart meenam. De volgende dag werd er met de gestolen bankpas gepind in Erp en Eindhoven. De politie zoekt twee verdachten via Opsporing Verzocht.
NIS2 deadline, Nginx UI misbruikt en AI agents onder vuur
Twee drukke nieuwsdagen op rij. In België gaat op 18 april 2026 de NIS2 deadline voor essentiële entiteiten in, en in Nederland heeft de Tweede Kamer de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Onderzoekers vonden een kritieke kwetsbaarheid in Nginx UI die zonder authenticatie volledige servertoegang geeft en actief wordt misbruikt, Cisco patchte een remote code execution lek in Identity Services Engine met CVSS 9.9 en Microsoft bracht tijdens Patch Tuesday 163 fixes uit waarvan acht kritiek. Aanvallers richten zich in de meest actuele campagne via prompt injection in GitHub pull requests op AI agents als Claude Code, Gemini en GitHub Copilot, en een nieuw vishing platform met de naam ATHR automatiseert telefonische fraude voor 4.000 dollar plus tien procent commissie. Verder bevestigde Cognizant een ransomware incident door Coinbasecartel, en veroordeelden Amerikaanse rechters twee Amerikanen tot 108 en 92 maanden cel voor het inzetten van Noord-Koreaanse IT werknemers bij meer dan honderd Amerikaanse bedrijven.
Booking en Basic-Fit gelekt, Kamervragen over ChipSoft
Twee grote datalekken raken deze week rechtstreeks honderdduizenden Nederlandse consumenten. Booking.com bevestigde dat onbevoegden boekingsdetails, namen, adressen en telefoonnummers hebben ingezien, en Basic-Fit meldde dat persoonsgegevens van ongeveer 200.000 Nederlandse leden mogelijk zijn buitgemaakt. In Den Haag stelden D66 en GroenLinks-PvdA Kamervragen over de hack bij ChipSoft en de afhankelijkheid van een enkele dominante leverancier in de zorg. Ondertussen ontdekte beveiligingsbedrijf Socket meer dan honderd malafide extensies in de Chrome Web Store die Google OAuth tokens stelen, en verdween er via de Apple App Store in enkele dagen 9,5 miljoen dollar aan cryptocurrency na een valse Ledger Live app. Microsoft bracht in de patchronde van april fixes uit voor 165 kwetsbaarheden, en Anthropic liet zien dat een nieuw taalmodel zelfstandig kritieke kwetsbaarheden in besturingssystemen en browsers kan vinden.
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.
NB413: ChipSoft ransomware treft ziekenhuizen, REvil baas ontmaskerd en twee Fortinet zerodays
Deze week werd Nederland opgeschrikt door een ransomware aanval op ChipSoft, de grootste leverancier van patiëntendossiers in Nederland. Elf ziekenhuizen haalden uit voorzorg hun portalen offline en de Autoriteit Persoonsgegevens ontving 23 meldingen. Ondertussen onthulde de Duitse BKA de identiteit van de beruchte REvil ransomware leider UNKN, ontmantelden de FBI en het VK een Russische spionagecampagne via gehackte routers en namen aanvallen op Kubernetes met 282 procent toe. Twee kritieke zerodays in FortiClient EMS werden binnen een week ontdekt en actief misbruikt en Noord-Koreaanse hackers stalen in 2025 al meer dan twee miljard dollar aan crypto. LinkedIn bleek stilletjes browserextensies van gebruikers te volgen en een bankhelpdeskfraudeur kreeg zeven jaar cel na het stelen van 900.000 euro. De politie zoekt daarnaast meer slachtoffers van verdachte Turpien. Lees alle details in de vier artikelen van deze week.
Reactie plaatsen
Reacties