Lantronics ICT B.V.

Wat er écht gebeurt als je op een phishing-link klikt

Door Tim Roelands Technisch specialist Lantronics ICT B.V.
29 juni 2026 6 minuten lezen

Een medewerker op de financiële administratie krijgt op een drukke dinsdagochtend een mail. Onderwerp: "Je Microsoft-wachtwoord verloopt vandaag, bevestig om toegang te behouden." Het ziet er netjes uit, het logo klopt, de afzender lijkt te kloppen. Ze klikt, vult haar wachtwoord in, krijgt netjes de melding op haar telefoon om de inlog goed te keuren, tikt op "Goedkeuren", en belandt op een pagina die zegt: "Bedankt, je wachtwoord is bevestigd."

Er gebeurt verder niks. Geen foutmelding, geen rare schermen. Ze werkt verder. En juist dáár begint het probleem.

In dit artikel vertraag ik die paar seconden tot een paar minuten leestijd, en laat ik zien wat er technisch onder de motorkap gebeurt. Niet om je bang te maken, maar omdat je een aanval pas goed kunt verdedigen als je begrijpt hoe hij werkt.

Stap 1: de klik, en waar je écht terechtkomt

De link die je in de mail ziet, is bijna nooit de plek waar je belandt. De tekst van een link en de daadwerkelijke bestemming zijn twee verschillende dingen. In HTML staat er zoiets als <a href="https://kwaadaardig-domein.com">https://login.microsoft.com</a>. Je leest het tweede, je gaat naar het eerste.

Daarbovenop zit vaak een hele keten van tussenstops: een link-shortener, een "tracking"-domein dat registreert dat jij geklikt hebt, en een of meer redirects die je uiteindelijk op de echte phishingpagina afleveren. Die omweg heeft een doel. Elke tussenstap maakt het voor spamfilters en beveiligingssoftware lastiger om de eindbestemming vooraf te beoordelen. En de aanvaller weet inmiddels: deze persoon klikt.

Stap 2: een loginpagina die niet van echt te onderscheiden is

De pagina waarop je belandt, is een vrijwel perfecte kopie. Het namaken van een Microsoft- of Google-loginscherm is triviaal. De originele pagina is gewoon zichtbaar in elke browser, en de opmaak is met een paar klikken te kopiëren.

Twee hardnekkige misverstanden worden hier misbruikt:

  • "Er staat een slotje, dus het is veilig." Het slotje betekent alleen dat het verkeer naar die pagina versleuteld is. Het zegt helemaal niets over wie er aan de andere kant zit. Ook criminelen kunnen in dertig seconden een gratis certificaat aanvragen. Versleuteld betekent niet betrouwbaar.
  • "De pagina ziet er goed uit, dus het klopt." Het enige wat echt telt, is het domein in de adresbalk. En dat is precies waar het net-niet klopt: micros0ft-login.com, login-microsoftonline.secure-portal.net, of een willekeurig gehackt websiteadres met een Microsoft-pagina erop.

Stap 3: de man-in-the-middle, en waarom MFA hier niet redt

Hier wordt het interessant, en dit is het deel dat de meeste mensen niet weten. Moderne phishing steelt niet alleen je wachtwoord. De aanval die nu het meeste schade aanricht heet Adversary-in-the-Middle (AiTM), en die pakt iets veel waardevollers.

De phishingpagina is niet zomaar een nepscherm. Het is een doorgeefluik, een proxy die precies tussen jou en de échte Microsoft-loginpagina in gaat zitten. Wat jij intikt, geeft de aanvaller realtime door aan de echte server. Wat de echte server terugstuurt, krijg jij te zien. Vandaar dat alles werkt zoals je verwacht.

Het loopt zo:

  1. Jij vult je e-mailadres en wachtwoord in. De proxy stuurt ze door naar de echte Microsoft. Je wachtwoord is nu buit, maar dat is niet het belangrijkste.
  2. Microsoft vraagt om je tweede factor. Die melding op je telefoon is echt. Jij keurt netjes goed.
  3. Microsoft is nu overtuigd dat jij het bent en stuurt een sessie-cookie terug, een soort digitaal polsbandje dat zegt: "deze persoon is ingelogd en geverifieerd."
  4. Die cookie gaat via de proxy óók naar de aanvaller. En daarmee heeft hij wat hij wilde.

Dit is de kern. Met die sessie-cookie hoeft de aanvaller je wachtwoord niet eens meer te kennen, en je MFA-code al helemaal niet. Hij plakt het polsbandje om en is binnen, alsof hij zelf de inlog en de goedkeuring had gedaan. Daarom is "ik heb toch MFA aanstaan" een terechte, maar onvolledige geruststelling. MFA stopt iemand die alleen je wachtwoord heeft. Het stopt niet automatisch iemand die je hele sessie heeft overgenomen.

Stap 4: wat er na de buit gebeurt

Eenmaal binnen is de aanvaller meestal niet luidruchtig. Hij gaat niet meteen herrie schoppen. Hij kijkt rond. En een van de eerste dingen die hij doet, is sporen wissen en een vangnet aanleggen.

Een klassieke truc is het aanmaken van een inbox-regel: alle inkomende mail met woorden als "factuur", "betaling" of "beveiliging" wordt automatisch naar een verborgen map of de prullenbak verplaatst. Zo ziet het echte slachtoffer de antwoorden niet die de aanvaller in haar naam verstuurt.

Vervolgens begint het echte werk, en dat is bijna altijd financieel:

  • Mailen met klanten en leveranciers vanuit een echt, vertrouwd account, met het verzoek om openstaande facturen voortaan naar een ander rekeningnummer over te maken.
  • Het adresboek en oude mailthreads doorspitten voor nieuwe doelwitten binnen en buiten het bedrijf.
  • Wachten op het juiste moment: een grote betaling, een vakantieperiode, een overname.

Het pijnlijke is de tijdlijn. Tussen de klik en het moment dat iemand doorheeft dat er iets mis is, zit vaak dagen, soms weken. Lang genoeg om schade aan te richten.

Stap 5: waar techniek alleen niet genoeg is, en wat wél werkt

De boodschap is nadrukkelijk niet "blijf beter opletten". Deze aanvallen zijn juist zo effectief omdat ze ontworpen zijn om door alerte mensen heen te glippen op een drukke dag. De verdediging zit in lagen, niet in één persoon die nooit een fout mag maken.

Wat echt verschil maakt:

  • Conditional Access. Voorwaarden aan het inloggen koppelen: alleen vanaf bekende apparaten, alleen vanuit verwachte landen, extra controle bij afwijkend gedrag. Een gestolen cookie uit een datacenter in een ander werelddeel valt dan alsnog door de mand.
  • Phishing-bestendige MFA. Passkeys en FIDO2-beveiligingssleutels zijn technisch gebonden aan het echte domein. Ze wéigeren simpelweg te werken op micros0ft-login.com, omdat de sleutel controleert of het domein klopt voordat hij iets vrijgeeft. Dit is de enige vorm van MFA die de AiTM-aanval uit stap 3 echt breekt.
  • Monitoring op verdacht gedrag. Niet de inlog zelf, maar wat erna gebeurt: een nieuwe inbox-regel, een inlog vanaf een onmogelijke locatie, een plotselinge stortvloed aan verstuurde mail. Daar valt een overgenomen account op.
  • De menselijke laag, maar dan slim. Niet "klik nergens op", wel een keiharde afspraak: een wijziging van een rekeningnummer wordt nóóit per mail bevestigd, altijd via een telefoontje naar een al bekend nummer.

Tot slot

Terug naar de medewerker uit het begin. Ze deed niets doms. Ze trapte in een aanval die specifiek is gebouwd om mensen zoals zij, op een dag zoals die, te misleiden. De schuldvraag helpt niemand. De echte les is dat "wachtwoord plus code" niet meer het eindstation van beveiliging is, en dat de verdediging tegen dit soort aanvallen in lagen zit: technische barrières die afwijkend gedrag tegenhouden, accounts die in de gaten worden gehouden, en werkafspraken die een gestolen mailbox onschadelijk maken.

Wil je weten of jouw Microsoft 365-omgeving deze lagen al heeft, of dat één gestolen cookie volstaat om binnen te komen? Dat is precies het soort vraag waar we bij Lantronics graag een keer nuchter naar kijken.