Hoe criminelen MFA omzeilen — en hoe u zich beschermt

MFA-fatigue: overstelp de gebruiker met verzoeken

De eenvoudigste aanvalsmethode heet 'MFA fatigue' of 'prompt bombing'. De crimineel kent al uw wachtwoord (via phishing of een datalek) en probeert inloggen. Elke inlogpoging stuurt een push-notificatie naar uw telefoon. De aanvaller blijft dit herhalen — ook midden in de nacht — totdat het slachtoffer uit frustratie of verwarring op 'Goedkeuren' tikt.

Dit klinkt simpel, maar het werkt verrassend goed. Bekende slachtoffers van MFA fatigue-aanvallen zijn onder andere Uber en Cisco. De oplossing: schakel over op 'number matching' (u moet een getal intikken dat op het scherm staat) of gebruik een hardware-sleutel in plaats van een push-notificatie.

Adversary-in-the-middle (AiTM) phishing

Geavanceerdere aanvallers gebruiken een 'man-in-the-middle'-techniek. Ze sturen u naar een nep-inlogpagina die er identiek uitziet aan de echte (bijv. een perfecte kopie van de Microsoft 365-inlogpagina). Wanneer u uw wachtwoord én uw MFA-code invoert, stuurt de nep-pagina deze direct door naar de échte Microsoft-server — en logt tegelijkertijd in namens de aanvaller.

De aanvaller onderschept de inlogsessie ('session cookie') en kan daarna inloggen zonder uw wachtwoord of MFA-code opnieuw nodig te hebben. Phishing-kits die dit automatisch doen (zoals Evilginx) zijn vrij beschikbaar op het dark web. Bescherming: gebruik FIDO2/hardware-sleutels (zoals YubiKey) die phishing-bestendige MFA bieden — deze werken alleen op de echte website.

SIM-swapping en OTP-diefstal

Wanneer MFA via sms-code werkt, is de aanvalsvector anders: de crimineel belt uw telecomprovider en overtuigt hen — via social engineering of gestolen persoonlijke gegevens — om uw telefoonnummer over te zetten naar een nieuwe simkaart. Vervolgens ontvangen zij uw sms-codes.

Minder geavanceerd maar ook effectief: 'real-time phishing' waarbij een slachtoffer op een nep-site zijn OTP-code invoert die vervolgens direct wordt doorgestuurd. Daarom is sms als tweede factor aanmerkelijk zwakker dan een authenticator-app of hardware-sleutel.

Hoe u MFA toch sterk houdt

Geen enkele beveiligingsmaatregel is absoluut, maar u kunt MFA significant versterken:

• Gebruik een authenticator-app (Microsoft Authenticator, Google Authenticator) in plaats van sms
• Schakel number matching of extra context in bij push-notificaties
• Voor hoge-risicoaccounts (admin, finance): gebruik een hardware-sleutel (YubiKey, Titan Key)
• Wees alert op onverwachte MFA-verzoeken — bel bij twijfel het IT-team
• Beperk het aantal MFA-verzoeken dat per uur geaccepteerd mag worden
• Monitor mislukte MFA-pogingen via uw SIEM of Microsoft Entra-logs