Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 23 februari 2026

Nieuwe golf vishing-aanvallen misbruikt Microsoft-aanmeldcodes

De Nederlandse cybersecurity-ondernemer Erik Westhovens, oprichter van Ransomwared, luidt de noodklok over een geraffineerde aanvalsmethode: device-code vishing. Bij deze vorm van cybercriminaliteit worden medewerkers telefonisch misleid om onbedoeld toegang tot hun Microsoft Entra-account weg te geven, ondanks het gebruik van meervoudige verificatie (MFA).

Cybercrime Cybersecurity Security
Nieuwe golf vishing-aanvallen misbruikt Microsoft-aanmeldcodes image

Hoe de aanval werkt

De aanval combineert sociale manipulatie (vishing) met legitieme Microsoft-functionaliteiten. Een aanvaller belt een medewerker en vraagt deze om een schijnbaar normale Microsoft-aanmeldcode in te voeren. Omdat de gebruiker inlogt op een authentieke Microsoft-pagina en zelf de MFA-bevestiging uitvoert, lijkt er geen vuiltje aan de lucht. In werkelijkheid genereert dit proces een geldig toegangstoken dat direct in handen van de aanvaller valt.

De impact: Van inlogcode naar datalek

Zodra een aanvaller binnen is via Microsoft Entra ID (voorheen Azure AD), zijn de gevolgen vaak niet te overzien. De aanvaller kan:

  • E-mails lezen en documenten downloaden.
  • Mailboxregels aanpassen voor verdere fraude.
  • Rechten escaleren om dieper in het bedrijfsnetwerk door te dringen.

Westhovens verwijst hierbij naar recente incidenten, zoals bij telecomprovider Odido, waar accountmisbruik leidde tot aanzienlijke datalekken en reputatieschade.

Preventie door AI-monitoring

Ransomwared zet specifiek ontwikkelde AI in om dit "blinde vlek"-risico te elimineren. Door de integratie met Microsoft Risky User en Risky Sign-in herkent de Ransomwared AI Entra Protection direct afwijkende patronen.

Wanneer een medewerker plotseling gebruikmaakt van een device-code-inlog (wat in de meeste kantooromgevingen ongebruikelijk is) of inlogt vanaf een vreemde locatie, grijpt het systeem in. Sessies worden direct ingetrokken en accounts bevroren voordat er gevoelige data kan worden buitgemaakt.

Strategische beveiliging

Naast real-time detectie adviseert Ransomwared organisaties om de aanvalsoppervlakte structureel te verkleinen door:

  1. Device-code authenticatie volledig uit te schakelen waar dit niet noodzakelijk is.
  2. Het aanscherpen van Conditional Access-beleid (voorwaardelijke toegang).
  3. Continue monitoring op het onrechtmatig uitgeven van tokens.

"Als je denkt dat goede beveiliging duur is, probeer dan eens een slechte," aldus Westhovens. Met deze waarschuwing benadrukt hij dat een gestolen token tegenwoordig de eerste stap is naar een volledig ransomware-incident.

Barco ClickShare Hub Bundels 02 2026 BW Enable U Connecting Everything BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2026

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
SAP Connect Day BN

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.