Egidio
Dossier · 2026

Wanneer een antivirus niet meer volstaat

Phishing ziet er tegenwoordig niet meer altijd uit als een slecht gespelde e-mail met een verdachte link. Twee gedocumenteerde technieken omzeilen specifiek de automatische verdedigingsmechanismen — de ene de tweefactorauthenticatie, de andere de antispamfilters.

🕵️Sessiediefstal na authenticatie (AiTM)

In plaats van een wachtwoord te stelen, onderschept deze techniek de sessie net nadat het slachtoffer zijn tweefactorcode heeft bevestigd — de aanvaller positioneert zich als een onzichtbare tussenpersoon tussen het slachtoffer en de echte dienst. Resultaat: de tweefactorauthenticatie heeft wel plaatsgevonden, maar heeft niets uitgehaald. Alleen al in oktober 2025 blokkeerde Microsoft meer dan 13 miljoen kwaadaardige e-mails gekoppeld aan één enkele van deze kits ("Tycoon 2FA"), gebruikt tegen Microsoft 365-accounts wereldwijd.

Microsoft Defender for Office 365, oktober 2025

☎️Phishing via telefonische terugbelverzoeken (TOAD)

Een e-mail zonder link of bijlage: enkel een nummer om terug te bellen voor een twijfelachtige factuur of een te bevestigen abonnement. Zonder URL om te scannen of bestand om te analyseren, detecteren klassieke automatische filters niets — de oplichting speelt zich volledig telefonisch af, waar een nepadviseur het slachtoffer begeleidt om externe toegang te installeren of inloggegevens af te geven. Onderzoeksbureau Trustwave mat een stijging van 140% van dit soort campagnes tussen juli en september 2024, met Microsoft, Norton, PayPal en DocuSign als meest nagebootste merken.

Trustwave, 2024-2025

Het gemeenschappelijke punt: automatisering omzeilen, niet aandacht

Deze twee technieken maken geen gebruik van een technische kwetsbaarheid in de klassieke zin — ze buiten een structurele beperking uit van geautomatiseerde detectietools, door precies het element weg te laten dat zij weten te analyseren (een link, een bijlage). Wat overblijft, is een menselijke interactie die is opgebouwd om legitiem te lijken: een inlogpagina identiek aan het origineel, of een geruststellende stem aan de lijn. Precies het type patroon dat een multikanaalbescherming moet leren herkennen in plaats van te scannen.

🔒 Een terugbelnummer in een verdachte e-mail, of een inlogpagina die opnieuw om een al ingevoerde code vraagt: twee signalen die een klassiek filter kan missen, maar die een motor die de kanalen met elkaar verbindt, kan herkennen. Zie hoe de motor van Egidio werkt.

Veelgestelde vragen

Beschermt tweefactorauthenticatie nog tegen phishing?

Ze blijft nuttig tegen eenvoudige wachtwoorddiefstal, maar niet meer tegen een "adversary-in-the-middle"-aanval: de aanvaller onderschept de sessie net nadat het slachtoffer de tweefactorcode heeft ingevoerd, waardoor de authenticatie wel heeft plaatsgevonden — maar zonder nut.

Wat is phishing via telefonische terugbelverzoeken (TOAD)?

Een e-mail zonder link of bijlage, alleen een telefoonnummer om terug te bellen voor een geloofwaardige reden (factuur, abonnement). Eenmaal aan de telefoon begeleidt een nepadviseur het slachtoffer om software te installeren of inloggegevens af te geven.

Waarom ontsnappen deze technieken aan automatische filters?

Omdat ze vaak geen verdachte link of kwaadaardige bijlage bevatten om te scannen — de oplichting speelt zich af in de menselijke interactie, aan de telefoon of op een pagina die de echte perfect nabootst.

Meer lezen