Inlogfraude is nu: dit zijn de lessen uit 1 jaar AitM detectie

Bij Attic leveren wij sinds januari 2024 een gratis vorm van inlogbescherming. Daarmee detecteren we aanvallen die ‘AitM’ ofwel Adversary in the Middle worden genoemd.

Toen we daarmee startten waren we oprecht geschokt hoe vaak organisaties daadwerkelijk getroffen werden. We weten dat dit beeld overeenstemt met incidenten die de media bereiken, maar omdat de term ‘AitM’ technisch is en afschrikt, komt die eigenlijk nooit in de uitleg naar voren. Mocht je iets lezen over ‘phishing-link’ of ‘ingelogde sessie’, neem dan van ons aan dat het hoogstwaarschijnlijk over AitM gaat.

Om eens concreet te maken wat wij zien, besloten we voor de eerste keer dit dreigingsrapport te maken. Voor de periode juli 2024 – juni 2025.

In dit blog behandel ik de 3 belangrijkste inzichten uit het rapport. Onderaan kan je het rapport in het Nederlands en Engels downloaden.

Door de rapportperiode heen nam het aantal installaties toe. We hebben per maand en kwartaal terug gerekend bij hoeveel op dat moment aangesloten bedrijven een detectie plaatsvond.

Een detectie wil zeggen: de nep inlogpagina werd daadwerkelijk bezocht (iemand klikte de link) en daarna werd ook nog het e-mailadres ingevuld. Oftewel: de persoon in kwestie was succesvol misleid.

Gemiddeld had 28% van de aangesloten tenants elk kwartaal minstens één AitM-detectie. Het grootste deel van de 1592 bezoeken aan AitM-sites waren scanners van Microsoft, maar 492 waren echte kliks van mensen. 

Gemiddeld gebeurt dat elk kwartaal bij 20% van de organisaties tenminste 1 keer. Over het volledige jaar gemeten is 52% van de organisaties tenminste 1x getroffen (173 van de 334). De hoeveelheid geslaagde misleidingen laat zien dat medewerkers veel moeite hebben om de nep inlogpagina’s te herkennen. Trainen van user awareness en aanbrengen van visuele indicatoren zijn dus heel waardevol.

In Nederland komt 44% van de kliks tot stand wanneer het slachtoffer niet verbonden is met een bedrijfsnetwerk (waarvan 23% via particuliere/mobiele verbindingen). Dit betekent dat de medewerker niet beschermd wordt door de netwerkbeveiliging van het werk. Dus bescherming moet veel meer gericht worden rondom de identiteit van de medewerker: inloggen is vaak de enige barrière voor toegang tot gevoelige data.

Klikken piekt op dinsdag rond lunchtijd. 32% van alle kliks was op de dinsdag, en 30% tussen 12:00 en 15:00.

27% van de unieke nep inlogpagina’s werd meerdere keren bezocht; 26% werd bezocht vanuit verschillende organisaties. Het is aannemelijk dat een nog veel groter gedeelte van de URLs wel bij meerdere organisaties is binnengekomen maar niet is aangeklikt. Dat wil zeggen dat het grootste deel van de URLs in brede phishingcampagnes worden ingezet.

Microsoft scant veel (bij 90% van die hergebruikte URL’s), maar in 21% volgde na een scan tóch nog een menselijke klik – die scanfuncties bieden dus niet direct bescherming. 

Wat werkt wél (en snel)

1. Interventie bij de login: onze slimme detectiedienst toont een rood waarschuwingsscherm zodra een nep-inlogpagina gedetecteerd wordt. Dit is beschikbaar als gratis dienst én als onderdeel van Attic Bouncer. 
2. Phishing-bestendige multi-factor authenticatie en sessiebescherming. Attic Fixer helpt met de juiste configuratie en voorkomt afwijkingen.
3. Conditional Access/MDM om inlogpogingen vanaf onbekende systemen of vreemde/verdachte locaties te reguleren.
4. Delen van dreiginsinformatie en snelle takedowns. Met Attic Bouncer wordt de laatste informatie inzet om verdachte inlogpogingen en bekende AitM sites te blokkeren.

PS: Wil je het rapport eerst doorlezen en daarna beslissen? Helemaal goed. Maar: als je in je agenda een piekmoment hebt — dinsdag rond de lunch — is dat precies hét moment waarop AiTM kliks ontstaan. Zorg dat je tegen die tijd tenminste de interventie-check hebt geactiveerd.