Een IT-beheerder bij een middelgroot logistiek bedrijf krijgt een melding: een beheerdersaccount verwijdert al twee uur lang bestanden. Er zijn geen mislukte inlogpogingen geregistreerd. MFA is nooit getriggerd. De aanvaller heeft niets geforceerd — hij liep gewoon naar binnen met een gestolen sessietoken, afkomstig van een gecompromitteerde laptop.
Dit soort aanvallen neemt snel toe. Aanvallers hoeven geen wachtwoorden meer te kraken of authenticatiesystemen te omzeilen. Ze wachten tot een gebruiker succesvol inlogt en stelen daarna het bijbehorende sessietoken. Vanaf dat moment opereren ze als legitieme gebruiker — onzichtbaar voor de meeste beveiligingstools.
De conclusie voor IT- en securityteams is ongemakkelijk, maar onvermijdelijk: geen enkel authenticatiemiddel, hoe sterk ook, biedt absolute bescherming. De relevante vraag is niet meer of aanvallers kunnen binnendringen. De vraag is of jouw organisatie snel genoeg kan herstellen als ze dat doen.
Belangrijkste inzichten
• Gestolen sessietokens omzeilen MFA volledig — zonder dat er een wachtwoord aan te pas komt.
• Aanvallers in een legitieme sessie kunnen data verwijderen of manipuleren voordat detectie plaatsvindt.
• Onveranderbare back-up met onafhankelijke authenticatie is de meest betrouwbare laatste verdedigingslinie.
Waarom omzeilt sessietoken-diefstal MFA?
Na een succesvolle inlog en MFA-verificatie geeft het systeem een sessietoken uit — een digitale bevestiging dat de authenticatie al heeft plaatsgevonden. Dit token wordt lokaal opgeslagen, vaak in de browser, en zorgt ervoor dat een gebruiker aangemeld blijft zonder elke paar minuten opnieuw te hoeven inloggen.
Aanvallers die toegang krijgen tot een eindpunt kunnen deze tokens extraheren via infostealer-malware of kwaadaardige browserextensies. Met zo'n token kunnen ze de sessie volledig overnemen — vanuit een geheel ander apparaat. Het doelsysteem ziet een geldige, geauthenticeerde sessie, want dat is het feitelijk ook.
Cloudflare rapporteert dat zijn netwerk dagelijks zo'n 230 miljard cyberdreigingen detecteert, waarbij een groeiend deel gericht is op identiteitsinfrastructuur in plaats van traditionele perimeterbeveiliging. Sessiekaping maakt daar een steeds groter deel van uit.
De omvang van het probleem blijkt ook uit het ENISA Threat Landscape 2025, een analyse van bijna 4.900 incidenten in Europa tussen juli 2024 en juni 2025. Daarin worden info-stealers — het belangrijkste hulpmiddel bij sessietoken-diefstal — aangemerkt als een consistente en wijdverspreide dreiging, expliciet gekoppeld aan credential-diefstal, sessiekaping en toegangsmakelaardij. Phishing, de meest voorkomende aflevermethode voor deze tools, was in diezelfde periode verantwoordelijk voor 60% van de waargenomen initiële inbraken.
Het aanvalsoppervlak is groter dan veel organisaties beseffen. Phishing-e-mails, kwaadaardige extensies en endpoint-infostealers fungeren allemaal als ingang. Wie dit risico wil beperken, begint vaak bij de apparaten waar de tokens worden opgeslagen — bijvoorbeeld via endpoint back-up en herstel.
Wat doen aanvallers zodra ze legitieme toegang hebben?
Wie opereert vanuit een geldige sessie, blijft grotendeels onzichtbaar voor authenticatiegebaseerde beveiligingstools. Gedragsdetectie kan afwijkingen signaleren, maar tegen die tijd is de schade doorgaans al aangericht.
Wat aanvallers met beheerderstoegang typisch doen:
• Bestanden of complete mappen verwijderen
• Kritieke data aanpassen of corrumperen
• Back-up- of monitoringdiensten uitschakelen
• Gevoelige informatie exfiltreren voordat er een alarm afgaat
Wat het extra gevaarlijk maakt, is de tijdspanne. Identiteitsgebaseerde inbreuken worden vaak pas dagen of weken na het feit ontdekt. Tegen die tijd heeft de aanvaller de omgeving vaak methodisch doorgewerkt — en de back-upomgeving specifiek aangevallen om hersteloptie te elimineren.
Heeft back-up nog zin als de aanvaller beheerdersrechten heeft?
Ja — maar alleen als de back-upomgeving goed geïsoleerd is. Back-upsystemen die dezelfde authenticatie delen met productieomgevingen kunnen door een aanvaller met beheerdersrechten worden bereikt en uitgeschakeld. Dat is een ontwerpfout die de meeste organisaties pas ontdekken tijdens een incident.
Een effectieve back-upstrategie voor dit type dreiging omvat:
1. Onveranderbare back-upopslag — data die gedurende een vastgestelde bewaarperiode door niemand kan worden gewijzigd of verwijderd, ook niet door beheerders.
2. Onafhankelijke back-upauthenticatie — aparte inloggegevens en toegangspaden voor back-upsystemen, los van productie-identiteitsproviders.
3. Airgapped of offsite kopieën — minimaal één back-upkopie opgeslagen in een omgeving die niet bereikbaar is vanuit het hoofdnetwerk.
4. Geautomatiseerde integriteitscontrole — regelmatige verificatie dat back-updata niet is gemanipuleerd.
5. Geoefende herstelprocedures — periodieke restore-drills met gedocumenteerde hersteltijddoelstellingen.
Wie de algehele weerbaarheid wil versterken, kijkt vaak naar disaster recovery-strategieën die niet alleen ransomware afdekken, maar ook identiteitsgebaseerde incidenten en interne dreigingen.
Maakt sneller herstel echt verschil voor de bedrijfscontinuïteit?
Herstelsnelheid bepaalt of een incident beheersbaar blijft of uitgroeit tot een operationele crisis. Elk uur dat kritieke systemen uitvallen, kost geld — stilstaande processen, onbereikbare klanten, mogelijke reputatieschade.
Organisaties die vooraf Recovery Time Objectives (RTO's) en Recovery Point Objectives (RPO's) hebben vastgesteld, herstellen aanzienlijk sneller dan organisaties die ad hoc moeten reageren. Het verschil zit in de voorbereiding: zijn back-updata direct beschikbaar en is het herstelproces eerder geoefend?
Voor sectoren als zorg, financiën en kritieke infrastructuur is herstelsnelheid niet alleen een operationele prioriteit — het is ook een wettelijke verplichting. NIS2 stelt expliciete eisen aan incidentrespons en aantoonbare herstelcapaciteit.
Wat verwachten NIS2 en ENISA van back-upstrategieën?
De NIS2-richtlijn verplicht organisaties in essentiële en belangrijke sectoren om risicobeheersmaatregelen te nemen die expliciet back-upbeheer en bedrijfscontinuïteitsplanning omvatten. Aantoonbare herstelcapaciteit is een kerneis — niet alleen preventie.
ENISA benadrukt in haar richtlijnen voor cybercrisismanagement dat organisaties ervan uit moeten gaan dat incidenten plaatsvinden en herstelcapaciteiten dienovereenkomstig moeten inrichten. Dat sluit direct aan bij wat identiteitsgebaseerde aanvallen vereisen: een veerkrachtige back-upomgeving die onafhankelijk werkt van mogelijk gecompromitteerde identiteitssystemen.
Concreet betekent dit: gedocumenteerde herstelprocedures, vastgestelde RTO's en RPO's per systeemcategorie, en periodieke restore-tests — niet eenmalig tijdens de initiële inrichting. Voor veel organisaties biedt Backup as a Service met onveranderlijkheid en onafhankelijke authenticatie de structurele basis die deze eisen vereisen.
Conclusie
Sessietoken-diefstal toont aan dat zelfs goed geïmplementeerde authenticatiemiddelen omzeild kunnen worden. Als aanvallers opereren vanuit een geldige sessie, verliest preventie veel van haar effectiviteit.
De organisaties die dit soort incidenten goed doorstaan, zijn niet degenen die elke inbraak hebben voorkomen — het zijn degenen die schade snel hebben gedetecteerd en systemen hebben hersteld voordat de bedrijfsimpact kritiek werd.
Betrouwbare back-up, goede isolatie en geoefende herstelprocedures zijn geen optionele aanvulling op een beveiligingsstrategie meer. Als identiteitsbeveiliging faalt, zijn zij het enige dat nog werkt.
Veelgestelde vragen
Kunnen gestolen sessietokens MFA echt omzeilen? +
Ja. Een sessietoken is het bewijs dat authenticatie al heeft plaatsgevonden. Een aanvaller die zo'n token steelt van een gecompromitteerd apparaat, neemt die geauthenticeerde status volledig over. Het systeem ziet een legitieme gebruiker — want dat klopt technisch gezien ook. MFA wordt niet nogmaals getriggerd.
Hoe komen aanvallers aan sessietokens? +
De meeste token-diefstal begint op gecompromitteerde eindpunten. Infostealer-malware, geïnstalleerd via phishing of kwaadaardige browserextensies, kan authenticatietokens extraheren die zijn opgeslagen in browsers of applicaties. Die tokens worden vervolgens geëxfiltreerd en hergebruikt vanuit een andere locatie. Dat is ook waarom eindpuntbeveiliging en een gecontroleerde apparaatomgeving onderdeel zijn van een bredere identiteitsstrategie.
Waarom is back-up specifiek belangrijk bij identiteitsgebaseerde aanvallen? +
Omdat aanvallers met beheerderstoegang data kunnen verwijderen, wijzigen of versleutelen voordat detectie plaatsvindt. In die situatie is back-up het enige betrouwbare herstelpad. Om bruikbaar te blijven in dit scenario, moet back-up onveranderbaar zijn opgeslagen en beschikken over onafhankelijke authenticatie — anders kan de aanvaller simpelweg ook de back-upomgeving uitschakelen.