Aanvallers hoeven tegenwoordig geen lawaai meer te maken om een bedrijf te compromitteren. Vaak betreten ze systemen niet met malware, kwetsbaarheden of zichtbare ransomware-aanvallen vanaf het eerste moment. In plaats daarvan gebruiken ze geldige accounts, gestolen wachtwoorden, vergeten VPN-toegang, cloud- sessies zonder MFA of overtuigende helpdesk-oproepen. Wanneer dat gebeurt, is veel traditionele beveiliging meestal al te laat.
Het recente wereldwijde rapport van Kaspersky Security Services wijst opnieuw op deze trend: credentieel- en identiteitsgebaseerde technieken behoren tot de meest effectieve waargenomen methoden in 2025. Volgens hun analyse heeft het raden van wachtwoorden een conversieratio van 34,8% naar bevestigde incidenten, gevolgd door het aanmaken van lokale accounts met 34,7% en het misbruik van geldige accounts met 34,5%. Het manipuleren van accounts staat op 32% en het ontdekken van netwerkdiensten op 31,2%.
Het probleem: een legitiem account lijkt ook legitiem
Misbruik van credenties werkt omdat het erg lijkt op normale activiteiten. Een EDR kan een verdachte binair detecteren, een antivirus kan een bekende malware blokkeren, en een firewall kan een vreemde verbinding afsluiten. Maar wanneer een aanvaller inlogt met een echt account, afkomstig van een bedrijfsdienst en gebruikmakend van legitieme beheertools, is de signaalsterkte veel minder duidelijk.
Deze techniek is niet nieuw, maar blijft effectief omdat veel bedrijven dezelfde fouten maken: hergebruik van wachtwoorden, oude actieve accounts, onvolledig MFA, blootgestelde diensten, gebruikers met meer rechten dan nodig en lage zichtbaarheid op identiteitswijzigingen. Kaspersky interpreteert dit patroon als een strategische verschuiving: minder lawaaierige malware en meer legitiem hergebruikt toegang om detectie te ontwijken.
MITRE ATT&CK beschrijft deze techniek als het gebruik van geldige accounts voor initiële toegang, persistentie, privilegesverhoging of ontwijking. Het gevaar zit precies daarin: een aanvaller hoeft niet altijd iets te kraken. Ze kunnen inloggen, bewegen, bronnen raadplegen en controle uitbreiden met credentials die door het systeem als geldig worden erkend.
| Belangrijkste technieken volgens Kaspersky | Conversieratio |
|---|---|
| Wachtwoord raden | 34,8 % |
| Lokale accounts aanmaken | 34,7 % |
| Misbruik van geldige accounts | 34,5 % |
| Manipulatie van accounts | 32,0 % |
| Ontdekking van netwerkdiensten | 31,2 % |
Het aanmaken van lokale accounts is een duidelijk voorbeeld van persistentie. Eenmaal binnen kan de aanvaller een nieuwe gebruiker creëren om niet afhankelijk te zijn van het initiële toegangspunt. Als de gecompromitteerde account wordt gedeactiveerd, behoudt de indringer nog steeds een achterdeur. Manipulatie van accounts volgt dezelfde logica: het reactiveren van gedeactiveerde gebruikers, toevoegen aan privilegiëgroepen of wijzigen van permissies zonder externe tools te gebruiken.
Vier echte voorbeelden die het risico illustreren
De zaak Colonial Pipeline blijft een basiscursus voor elke beveiligingsteam. In 2021 legde hun CEO uit dat aanvallers toegang kregen via een gestolen wachtwoord, gekoppeld aan een verouderd VPN-systeem zonder MFA. Het ging niet om een geavanceerde exploit, maar om een account met één authenticatiefactor in een kritieke infrastructuur.
Ook Microsoft kon in 2024 een vergelijkbaar incident melden met Midnight Blizzard, ook bekend als Nobelium of APT29. Volgens het bedrijf gebruikten de aanvallers password spray tegen een verouderde testtenant zonder MFA. Vanaf daar escaleerde het incident tot toegang tot bedrijfs-e-mails. De les? Zelfs “niet-productieve” omgevingen maken deel uit van het aanvalsoppervlak.
Het incident bij Snowflake in 2024 liet een ander facet zien. Mandiant identificeerde een datadiefstal- en afpersingscampagne gericht op klanten van Snowflake, uitgevoerd door UNC5537, waarbij gestolen credentials werden gebruikt, vaak verkregen via malware-infostealers. Mandiant benadrukte dat de gecompromitteerde accounts meestal geen MFA hadden ingeschakeld en dat er geen indicaties waren dat er sprake was van een datalek bij Snowflake zelf. Belangrijk om te beseffen: in SaaS-omgevingen compenseert de veiligheid van de aanbieder niet voor een slecht beschermde klantidentiteit.
Social engineering-aanvallen op helpdesks vormen een extra laag risico. Okta merkte in 2023 een campagne op waarbij aanvallers supportmedewerkers belden om hen te overtuigen alle MFA-factoren van hooggeprivilegieerde gebruikers te resetten. Eenmaal binnen, misbruikten de aanvallers legitieme federatie- functies om gebruikers binnen de organisatie te impersoneren. Het was niet nodig om Okta zelf te kraken; het manipuleren van het supportproces volstond.
Deze voorbeelden hebben gemeen dat de aanvaller niet altijd binnenkomt op de verwachte manier. Ze maken gebruik van oude accounts, vergeten tenants, gelekte credentials, geïnfecteerde laptops met infostealers of gehaaste helpdesk-medewerkers. Daarom kunnen preventieve maatregelen niet meer alleen op eindpunten en randgebieden gericht zijn.
Signalen die een SOC niet mag negeren
Misbruik van credenties verschijnt zelden als een enkel, spectaculair incident. Meestal bouwt het zich op in een keten: eerst falende pogingen tot inloggen, gevolgd door correct geauthenticeerde sessies vanaf nieuwe locaties. Daarna komt verkenning van interne diensten, wijzigingen in groepen, aanmaken van nieuwe gebruikers, registratie van nieuwe MFA-apparaten of ongebruikelijke activiteiten met beheertools.
Een SOC moet deze signalen als delen van één verhaal zien. Een lokale account die buiten kantooruren wordt aangemaakt, kan onschuldig zijn als dat door een bekende beheerder gebeurde tijdens een onderhoudsperiode. Maar als het gebeurt na meerdere mislukte inlogpogingen, vanaf een ongewone IP-adres en gevolgd door interne resource-aanvragen, verandert de situatie volledig.
Daarnaast is het belangrijk om identiteitswijzigingen extra te monitoren: resets van MFA, nieuwe apparaten, heractivering van gedeactiveerde accounts, rollenwijzigingen, OAuth-applicaties, API-tokens, e-mailregels, SSH-sleutels, secrets in repositories en toegang tot cloud consoles vanaf ongebruikelijke locaties.
In hybride omgevingen is de uitdaging groter. Bedrijven kunnen actief directory, Entra ID, Okta, Google Workspace, AWS IAM, kritieke SaaS-accounts, VPN’s en externe beheertools combineren. Als afzonderlijke systemen gebeurtenissen registreren zonder ze te correleren, ontstaan blinde vlekken waar aanvallers door kunnen glippen.
Welke controles echt helpen
De eerste stap is aannemen dat identiteiten een kernoppervlak voor aanvallen vormen. MFA moet verplicht zijn, vooral voor remote toegang, privilegië-accounts, cloudbeheerpanelen en kritieke SaaS-diensten. Maar MFA alleen is niet voldoende, zoals blijkt uit aanvallen op helpdesks. Ook bescherming van herstelprocessen, registratie van apparaten en accountwiederopvolging zijn essentieel.
De tweede maatregel is het beperken van privileges. Permanente beheerdersaccounts moeten uitzonderingen blijven. Privileges moeten tijdelijk, gerechtvaardigd, geregistreerd en periodiek gecontroleerd worden. Local accounts moeten worden geïnventariseerd en gemonitord. Inactieve accounts moeten echt worden gedeactiveerd en regelmatig worden geverifieerd.
De derde maatregel richt zich op gedragstonen, niet alleen op authenticatie. Een juiste login kan kwaadaardig zijn. Daarom zijn risicobased detectieregels belangrijk: vreemde locatie, onbekende ASN, onmogelijke reizen, nieuw apparaat, buiten-kantooruren toegang, verdachte activiteiten na MFA-reset of gebruik van beheertools door gebruikers die die normaal niet gebruiken.
De vierde maatregel is bescherming van gebruikersaccounts: campagne-achtige incidenten, zoals die bij Snowflake, tonen de impact van infostealers. Een gecompromitteerd apparaat kan tokens, browseropgeslagen wachtwoorden, cloud-credentials of bedrijfsplatformsleutels stelen. Endpoint-hygiene blijft nodig, maar moet worden gekoppeld aan identiteitsbescherming.
De vijfde maatregel is het testen van menselijke procedures. Het helpdeskapparaat mag niet het pad zijn dat alle technische controles omzeilt. Accountherstelprocessen moeten een sterke identificatieverificatie bevatten, aanvullende goedkeuringen voor privilegië-accounts, tijdelijke blokkades bij verdachte activiteiten en meldingen wanneer MFA-factoren worden gereset op gevoelige accounts.
Voor beheerders, SOC-teams en securityverantwoordelijken is de boodschap duidelijk: als een aanvaller binnen kan komen met een geldig account, een nieuw account kan aanmaken, privileges kan verhogen en kan bewegen door het netwerk zonder te worden gedetecteerd, ligt het probleem niet alleen aan wachtwoorden. Het gaat om identiteit-architectuur, telemetrie en reactiemogelijkheden.
Moderne beveiliging moet uitgaan van een ongemakkelijke waarheid: een geldige credential bewijst niet dat de gebruiker legitiem is. Het enige dat dat bewijst, is dat iemand de deur heeft geopend. Het echte belang begint daarna: begrijpen wie er handelt, vanaf waar, met welk patroon, op welke resources en met welke intentie.
Veelgestelde vragen
Wat is credentieelmisbruik in cybersecurity?
Het gebruik van legitieme, gestolen of gecompromitteerde accounts om toegang te krijgen tot bedrijfsystemen en te handelen alsof de aanvaller een geautoriseerde gebruiker is.
Waarom is credentieelmisbruik moeilijk te detecteren?
Omdat veel acties normaal lijken: inloggen, applicatiegebruik, permissiewijzigingen of gebruik van beheertools. Detectie vereist context en correlatie.
Bespaart MFA alle risico’s?
Nee. MFA vermindert het risico aanzienlijk, maar moet worden aangevuld met bescherming van helpdesks, device-controle, anomaliedetectie, minimaal privileges en regelmatige accountreviews.
Welke echte voorbeelden laten dit probleem zien?
De gevallen van Colonial Pipeline, Microsoft Midnight Blizzard, campagnes tegen Snowflake-klanten en social engineering-aanvallen op Okta-tenants illustreren hoe credenties, oude accounts of zwakke supportprocessen gevaar kunnen vormen.
via: Open Security