Boek een kennismaking
Blog

MFA-bypass uitgelegd: hoe hackers multi-factor authenticatie omzeilen (en hoe u zich beschermt)

Hoe omzeilen hackers MFA zonder phishing? SIM-swapping, push bombing, sessietoken-diefstal en meer. Met MFA-sterkte-ranking en verdedigingstips.
Vier verdedigingslagen voor MFA-bypass bescherming met laptop en login-interface op kantooromgeving

TL;DR: Multi-factor authenticatie (MFA) blijft essentieel, maar is niet onfeilbaar. Aanvallers omzeilen MFA steeds vaker via technieken die niets met phishing te maken hebben: SIM-swapping, push bombing, OAuth-fraude, sessietoken-diefstal, helpdesk-manipulatie en misbruik van herstelprocessen. Dit artikel legt elke techniek uit, toont de impact en geeft concrete verdedigingsmaatregelen per aanvalsvector. U leert welke MFA-types het sterkst zijn en hoe u migreert naar phishing-resistente authenticatie.

U hebt multi-factor authenticatie uitgerold in uw organisatie. Misschien was het een project van weken, met verandermanagement en helpdesk-tickets. Nu staat het aan. Iedereen gebruikt een authenticator-app of ontvangt een SMS-code. Veiliger, toch?

Ja, absoluut veiliger. Maar niet onkwetsbaar. De afgelopen twee jaar hebben aanvallers een reeks technieken ontwikkeld die MFA omzeilen zonder dat iemand op een foute link klikt. Geen phishing-pagina, geen namaaksite. Gewoon andere routes naar dezelfde toegang.

Dit artikel legt die routes uit. Niet om u bang te maken, maar omdat een IT-manager die begrijpt hoe MFA omzeild wordt, betere keuzes maakt over welk type MFA waar ingezet wordt.

Werkt MFA in 2026 nog tegen credential-aanvallen?

MFA werkt nog steeds. Dat is het vertrekpunt. Elke vorm van multi-factor authenticatie maakt het voor aanvallers aanzienlijk moeilijker om met gestolen wachtwoorden binnen te komen. Bij geautomatiseerde, massale aanvallen blokkeert MFA het overgrote deel van de pogingen.

Maar niet alle MFA is gelijkwaardig. En de technieken om MFA te omzeilen zijn de afgelopen jaren sterk geprofessionaliseerd. Volgens het Verizon 2025 Data Breach Investigations Report was token-diefstal verantwoordelijk voor 31% van alle inbraken op Microsoft 365-omgevingen, waarmee het de meest voorkomende aanvalsvector werd. Het CrowdStrike 2025 Global Threat Report toont dat vishing-aanvallen (voice phishing) met 442% toenamen in de tweede helft van 2024, een trend die in 2025 verder versnelde.

De bewering dat MFA “99,9% van de aanvallen stopt” verdient nuance. Voor opportunistische, geautomatiseerde aanvallen klopt dat cijfer nog steeds. Voor gerichte aanvallen op zakelijke omgevingen hangt de bescherming af van het type MFA dat u gebruikt en de verdedigingslagen eromheen.

De zwakste types MFA: SMS en email-OTP

SMS-gebaseerde verificatie is het MFA-type dat de meeste organisaties als eerste uitrollen. Begrijpelijk: het is eenvoudig en iedereen heeft een telefoon. Maar het is ook het type dat instanties als NIST (National Institute of Standards and Technology) en CISA (Cybersecurity and Infrastructure Security Agency) al jaren afraden voor accounts met een hoge waarde.

De reden is structureel. SMS reist via het SS7-protocol, een telecomstandaard uit de jaren ’80 die nooit ontworpen is met beveiliging in gedachten. Daarnaast is het telefoonnummer zelf kwetsbaar voor overname via SIM-swapping (meer daarover hieronder).

Email-OTP kent een vergelijkbaar probleem: als een aanvaller toegang heeft tot uw mailbox, is de tweede factor geen factor meer. Het wordt een single point of failure.

Wat kunt u doen? Begin met het uitfaseren van SMS als MFA-methode voor beheeraccounts, financiële systemen en directieleden. Vervang het door een authenticator-app met number matching, of beter: door een FIDO2-token of passkey.

MFA-bypass technieken die niet via phishing lopen

Veel artikels over MFA-bypass focussen op phishing-gebaseerde methoden zoals Adversary-in-the-Middle (AitM) aanvallen. Daar hebben we eerder over geschreven in ons artikel over hoe hackers uw MFA omzeilen via phishing. Hier focussen we op de technieken die werken zonder dat de gebruiker op een foute link klikt.

SIM-swapping: uw telefoonnummer overnemen

Hoe het werkt. Bij SIM-swapping overtuigt een aanvaller uw telecomprovider om uw telefoonnummer over te zetten naar een andere SIM-kaart. Dat lukt zelden via een technisch lek bij de provider. Het is social engineering: de aanvaller belt de klantenservice met persoonlijke gegevens (vaak afkomstig uit eerdere datalekken of sociale media) en passeert de identiteitscontrole.

Zodra het nummer is overgedragen, ontvangt de aanvaller alle SMS-berichten, inclusief MFA-codes.

Belgische context. Belgische providers zoals Proximus, Telenet en Orange zijn zich bewust van het risico. Na een boete van 200.000 euro voor Orange Spanje in 2024 wegens gebrekkige SIM-swap-procedures, hebben Europese providers hun verificatieprocessen aangescherpt. Belgische telecomproviders bieden steeds vaker de mogelijkheid om een extra PIN-code in te stellen voor wijzigingen aan uw abonnement.

Hoe beschermt u zich?

  • Faseer SMS-gebaseerde MFA uit voor zakelijke accounts.
  • Stel een telco-PIN in bij uw provider voor elke wijziging aan het abonnement.
  • Overweeg eSIM, al biedt dat geen volledige bescherming tegen social engineering op de provider.

MFA fatigue en push bombing: u in vermoeidheid laten klikken

Hoe het werkt. De aanvaller heeft uw inloggegevens al (bijvoorbeeld via een eerder datalek of credential stuffing). Vervolgens start de aanvaller tientallen inlogpogingen, waardoor uw telefoon wordt overspoeld met push-notificaties van uw authenticator-app. De hoop: u klikt uit frustratie of per ongeluk op “Goedkeuren”.

Bekende cases. Bij de Uber-inbraak in 2022 gebruikte een aanvaller van de Lapsus$-groep deze techniek. Na een reeks push-meldingen nam de aanvaller via WhatsApp contact op met de medewerker en deed zich voor als IT-support, met het verzoek om de melding goed te keuren “om de storing te verhelpen”. Cisco meldde datzelfde jaar een soortgelijke aanval waarbij vishing gecombineerd werd met push bombing. Volgens het Verizon 2025 DBIR vertegenwoordigt push bombing 14% van alle social engineering-incidenten.

Hoe beschermt u zich?

  • Activeer number matching in uw authenticator-app (Microsoft Authenticator en andere ondersteunen dit). De gebruiker moet een getal overtypen dat op het inlogscherm verschijnt, waardoor blind goedkeuren onmogelijk wordt.
  • Beperk het aantal push-notificaties per tijdsperiode (rate limiting).
  • Toon contextuele informatie in de push-notificatie: locatie, applicatie en tijdstip.

OAuth consent fraud: u toestemming laten geven aan een kwaadaardige app

Hoe het werkt. Bij OAuth consent fraud registreert een aanvaller een kwaadaardige applicatie die er betrouwbaar uitziet, vaak met een naam die lijkt op een bekende dienst (Adobe, DocuSign). De gebruiker wordt gevraagd om toestemming te geven, een “Toestaan”-klik. Zodra dat gebeurt, ontvangt de aanvaller een OAuth access token dat directe toegang geeft tot de data van de gebruiker, zonder dat daar ooit een wachtwoord of MFA-code voor nodig is.

Dit is bijzonder verraderlijk in Microsoft 365- en Google Workspace-omgevingen. Volgens onderzoek van Proofpoint in 2025 werden bijna 3.000 gebruikersaccounts in meer dan 900 Microsoft 365-omgevingen getroffen via deze methode, met een slagingspercentage van meer dan 50%.

Hoe beschermt u zich?

  • Schakel de admin consent workflow in: gebruikers kunnen niet zelfstandig apps autoriseren, elke aanvraag moet door een IT-beheerder worden goedgekeurd.
  • Beperk de rechten (scopes) die applicaties kunnen opvragen.
  • Audit regelmatig welke apps toegang hebben tot uw omgeving en verwijder ongebruikte of verdachte apps.

Sessietoken-diefstal: na MFA-login uw sessie kapen

Hoe het werkt. Dit is in 2025 en 2026 uitgegroeid tot een van de meest impactvolle MFA-bypass-methoden. Infostealers zoals Lumma Stealer zijn gespecialiseerd in het extraheren van sessiecookies uit de database van webbrowsers op het apparaat van de gebruiker. Omdat een sessiecookie bewijst dat de gebruiker al succesvol is geauthenticeerd (inclusief MFA), kan een aanvaller dit cookie importeren in een eigen browser en direct toegang krijgen.

De schaal is aanzienlijk. Tussen maart en mei 2025 identificeerde Microsoft meer dan 394.000 Windows-computers wereldwijd die geïnfecteerd waren met Lumma-malware. In mei 2025 leidde Microsoft samen met Europol, het U.S. Department of Justice en andere partners een internationale operatie om de Lumma-infrastructuur te ontmantelen, waarbij zo’n 2.300 kwaadaardige domeinen werden overgenomen.

Hoe beschermt u zich?

  • Implementeer token binding: het cryptografisch koppelen van een sessietoken aan het specifieke apparaat, zodat een gestolen cookie onbruikbaar is op een ander systeem.
  • Gebruik conditional access policies die inlogpogingen blokkeren op basis van risicosignalen (ongebruikelijke locatie, onbeheerd apparaat).
  • Zet EDR-software (Endpoint Detection and Response) in die verdachte processen detecteert die toegang proberen te krijgen tot beveiligde browserdata.

Helpdesk social engineering: uw IT-support manipuleren

Hoe het werkt. De aanvaller belt de IT-helpdesk en doet zich voor als een medewerker die zijn telefoon is verloren of problemen heeft met inloggen. Met informatie uit datalekken of sociale media passeert de aanvaller de identiteitscontrole en overtuigt de helpdeskmedewerker om de MFA-registratie te resetten naar een nieuw apparaat.

Bekende case: MGM Resorts (2023). De groep Scattered Spider wist de systemen van MGM Resorts binnen te dringen door simpelweg de helpdesk te bellen. Het resultaat: wekenlange verstoring van de bedrijfsvoering en miljoenen dollars schade. Het CrowdStrike 2025 Global Threat Report bevestigt dat meerdere dreigingsactoren in 2024 help desk social engineering-tactieken overnamen, waarbij aanvallers zich voordeden als medewerkers en de helpdesk overtuigden om wachtwoorden en MFA-instellingen te resetten. Meer over hoe social engineering werkt leest u in ons achtergrondoverzicht.

Hoe beschermt u zich?

  • Vereis strikte identiteitsverificatie bij elke MFA-reset: terugbelprocedure naar een reeds bekend nummer, of videoverificatie.
  • Vereis goedkeuring van een manager voor elke MFA-reset.
  • Train uw helpdeskmedewerkers specifiek op deze aanvalsvector. Overweeg regelmatige phishing- en social engineering-simulaties om de weerbaarheid te testen.

Recovery flow exploitation: uw backup-routes misbruiken

Hoe het werkt. Herstelmechanismen (“Wachtwoord vergeten” of “MFA kwijt”) zijn vaak de zwakste schakel in het authenticatieproces. Als uw organisatie toestaat dat MFA wordt gereset via een e-mail naar een privéadres of via zwakke beveiligingsvragen, kan een aanvaller die een van deze factoren heeft gecompromitteerd de volledige MFA-bescherming uitschakelen. Backup-codes die onveilig worden opgeslagen (in een tekstbestand op de desktop, in een gedeelde map) vormen een vergelijkbaar risico.

Hoe beschermt u zich?

  • Vereis fysieke aanwezigheid of een hardware-beveiligde methode voor het herstellen van MFA-toegang voor beheeraccounts.
  • Stop met het gebruik van statische beveiligingsvragen waarvan de antwoorden online vindbaar zijn.
  • Bewaar backup-codes in een wachtwoordmanager of fysieke kluis, nooit in onbeveiligde bestanden.

MFA-sterkte-ranking: van zwakst naar phishing-resistant

Niet alle MFA is gelijk. Op basis van de NIST SP 800-63B-richtlijnen en actuele dreigingsanalyses kunt u MFA-types indelen in vier niveaus:

Niveau MFA-type Bestand tegen Niet bestand tegen
Niveau 1 (onvoldoende) SMS-OTP, Voice-OTP, Email-OTP Geautomatiseerde credential stuffing SIM-swapping, SS7-interceptie, mailbox-overname
Niveau 2 (basis) TOTP-apps (Google Authenticator, Authy), standaard push-notificaties Credential stuffing, eenvoudige replay MFA fatigue, malware op endpoint (seed-extractie)
Niveau 3 (goed) Push met number matching + conditional access Credential stuffing, push bombing, eenvoudige replay Geavanceerde sessietoken-diefstal, helpdesk social engineering
Niveau 4 (phishing-resistant) FIDO2 hardware tokens (YubiKey), passkeys/WebAuthn Alle bovenstaande + phishing (AitM), geen exporteerbare sleutels Fysiek verlies van de token (beperkt risico)

CISA stelt expliciet dat SMS en voice calls niet langer geschikt zijn voor accounts met een hoge waarde. Voor uw beheeraccounts, financiële systemen en directieleden is niveau 3 het minimum; niveau 4 is de aanbeveling.

Verdedigingslagen naast sterkere MFA

Sterkere MFA alleen is niet voldoende. Een effectieve verdediging combineert meerdere lagen:

Conditional access policies. Beleid dat toegang verleent op basis van meerdere factoren: is het apparaat beheerd? Is de locatie bekend? Past het inlogtijdstip bij het gebruikspatroon? Dit is de meest impactvolle maatregel die u kunt nemen naast MFA-upgrade.

Device compliance. Alleen apparaten die voldoen aan uw beveiligingseisen (up-to-date besturingssysteem, actieve EDR, geen root-toegang) krijgen toegang. Dit beperkt het risico van sessietoken-diefstal via gecompromitteerde endpoints.

Risk-based authentication. Systemen die automatisch een sterkere MFA-methode afdwingen wanneer het risico van de inlogpoging als hoog wordt ingeschat, bijvoorbeeld bij een onbekende locatie of een verdacht apparaat.

Awareness training. Technische maatregelen dekken niet alles. Uw helpdeskmedewerkers en eindgebruikers moeten weten hoe push bombing eruitziet, waarom ze niet zomaar OAuth-toestemming moeten geven, en wanneer een telefoontje van “IT-support” verdacht is. Wachtwoordbeleid is hierbij een belangrijk fundament. Lees meer over wachtwoordbeleid als basis voor uw organisatie.

Wat zegt het CCB en NIS2 over MFA-keuze?

Het Centrum voor Cybersecurity België (CCB) geeft via het CyberFundamentals-framework concrete richtlijnen over MFA, afgestemd op het risicoprofiel van uw organisatie:

  • CyFun Basic: vereist MFA voor alle externe toegang (VPN, Microsoft 365, cloudtoepassingen).
  • CyFun Important: vereist MFA met verhoogde weerstand (push met number matching) voor alle beheeraccounts.
  • CyFun Essential: promoot phishing-resistente methoden (FIDO2) voor alle medewerkers en kritieke systemen.

NIS2 (artikel 21) verplicht organisaties die onder de richtlijn vallen om passende authenticatiemaatregelen te nemen als onderdeel van hun cyberbeveiligingsbeleid. Het CCB vertaalt dit in de praktijk via CyFun-niveaus. De boodschap is helder: MFA is geen optie meer, en het type MFA dat u kiest moet passen bij het risico.

Het gebruik van itsme als beveiligde authenticatiemethode wordt door het CCB sterk gepromoot vanwege de hardware-binding aan de Belgische eID.

Migreren van zwakke naar sterke MFA: een praktisch pad

Een upgrade van SMS naar FIDO2 of passkeys hoeft geen big-bang-project te zijn. Een gefaseerde aanpak werkt in de praktijk het best:

Stap 1: inventariseer. Breng in kaart welke accounts welk type MFA gebruiken. Focus eerst op de accounts met het hoogste risico: IT-beheerders, directie, financiële afdeling.

Stap 2: prioriteer. Begin de migratie bij de meest kritieke gebruikers. Een kleine groep van 10 tot 20 beheeraccounts op FIDO2-tokens zetten heeft onmiddellijk een grote impact op uw risiconiveau.

Stap 3: kies uw methode. FIDO2 hardware tokens (zoals YubiKeys) zijn de gouden standaard voor beheeraccounts. Passkeys bieden een gebruiksvriendelijker alternatief voor bredere uitrol: biometrische inlog is vaak sneller dan het overtypen van codes.

Stap 4: communiceer en train. De technische migratie is het makkelijke deel. Gebruikersadoptie vraagt communicatie over het waarom en begeleiding bij het hoe. Presenteer het niet als een beperking maar als een verbetering: “Sneller inloggen, beter beveiligd.”

Stap 5: monitor en handhaaf. Schakel na de migratie de zwakkere methoden uit voor de gemigreerde accounts. Een conditional access policy die SMS-gebaseerde MFA weigert voor beheeraccounts is het sluitstuk.

Aan de slag met sterkere authenticatie in uw bedrijf

Wij zien deze patronen regelmatig bij Vlaamse KMO’s: MFA staat aan, maar het type is te zwak, de helpdesk is onvoldoende voorbereid, of recovery flows zijn nooit aangescherpt. Een audit of awareness-traject brengt binnen een halve dag in kaart waar uw organisatie staat en welke stappen het meeste verschil maken.

Geen verkooppraatje, wel duidelijkheid. Boek een kennismaking en ontdek waar uw MFA-setup vandaag kwetsbaar is.

Veelgestelde vragen over MFA en MFA-bypass

Is MFA nog de moeite als het toch omzeild kan worden?

Absoluut. MFA blokkeert nog steeds het overgrote deel van geautomatiseerde aanvallen en credential stuffing. De technieken in dit artikel vereisen gerichte inspanning van de aanvaller. Zonder MFA staat de deur wagenwijd open; met MFA moet een aanvaller een omweg nemen. De keuze is niet MFA of geen MFA, maar welk type MFA u inzet.

Wat is het verschil tussen MFA en 2FA?

Twee-factor authenticatie (2FA) is een vorm van MFA die precies twee factoren vereist. MFA is de bredere term die twee of meer factoren omvat. In de praktijk worden de termen vaak door elkaar gebruikt, maar MFA kan ook drie factoren combineren (iets dat u weet, iets dat u hebt, iets dat u bent).

Is Microsoft Authenticator veilig genoeg voor zakelijk gebruik?

Microsoft Authenticator met number matching (niveau 3 in onze ranking) is een goede keuze voor de meeste medewerkers. Voor beheeraccounts en directieleden adviseert CISA om een stap verder te gaan naar FIDO2-tokens of passkeys (niveau 4).

Hoe herken ik een push bombing-aanval?

Als u onverwacht meerdere push-notificaties ontvangt van uw authenticator-app zonder dat u probeert in te loggen, is dat een sterk signaal. Keur geen enkele melding goed. Meld het onmiddellijk bij uw IT-afdeling. Activeer number matching als dat nog niet is ingeschakeld.

Welke MFA-methode raadt het CCB aan voor Belgische bedrijven?

Het CCB adviseert via het CyberFundamentals-framework minimaal push-notificaties met number matching voor beheeraccounts (CyFun Important-niveau) en promoot FIDO2-tokens en passkeys voor organisaties op het Essential-niveau. Het gebruik van itsme wordt ondersteund vanwege de hardware-binding aan de Belgische eID.

Wat kost het om te migreren van SMS-MFA naar FIDO2?

Een FIDO2 hardware token kost circa 25 tot 60 euro per stuk. Voor een organisatie met 100 medewerkers is de hardware-investering overzichtelijk. De werkelijke kost zit in configuratie, uitrol en gebruikersbegeleiding. Een audit helpt om de migratie efficiënt te plannen en te prioriteren op basis van risico.