Cyberaanvallen waarbij sessietokens worden misbruikt worden steeds populairder. Hoe komt dat?
Het stelen van cookies en sessietokens wordt bij hackers steeds populairder. We kijken naar de factoren die deze aanvalsvorm in de hand werken, de impact ervan op bedrijven en welke maatregelen ze kunnen nemen om het risico te beperken.
Cyberaanvallen tijdens thuiswerk blijven toenemen
IT-teams zien een toename in het aantal werknemers dat kwaadaardige bijlagen opent, wat leidt tot meer heropbouw van geïnfecteerde machines. Thuiswerk maakt het moeilijker…
Hybride werken veranderd klassiek systeembeheer
De manier waarop IT-omgevingen worden beheerd, is de afgelopen jaren fundamenteel veranderd. Volgens HP’s Work Relationship Index 2025 werkt inmiddels ongeveer twintig procent van de werknemers niet langer vanuit één vaste omgeving, maar wisselend tussen kantoor, thuis en onderweg. Tegelijkertijd hebben bedrijven hun infrastructuur massaal naar de cloud verplaatst.
Identiteits- en toegangsbeheer verloopt daardoor steeds vaker via cloudplatformen zoals Microsoft Entra. Traditionele on-premise domeincontrollers verdwijnen, net als VPN- en RDP-verbindingen. In plaats daarvan loggen beheerders simpelweg in via een webbrowser om gebruikers, rechten en instellingen te beheren.
Aanvallers passen hun technieken aan en kiezen vaak de gemakkelijke weg.
Vroeger bevonden deze beheertaken zich binnen een afgeschermd netwerk, vergelijkbaar met een kasteel omringd door een slotgracht. Zolang aanvallers buiten bleven, was de schade beperkt. Maar als ze binnen geraken, is het relatief gemakkelijk om het netwerk te infiltreren en kritieke systemen over te nemen. Om dat risico te beperken, werd het scheiden van taken geïntroduceerd, bijvoorbeeld via privileged access workstations (PAW’s). Daar worden gevoelige beheertaken strikt gescheiden van dagelijkse werkzaamheden.
Die scheiding van taken met browser-gebaseerd beheer niet verdwenen. Integendeel: hoewel beheer eenvoudiger is geworden, blijft het risico dat één gecompromitteerd systeem directe toegang geeft tot kritische cloudomgevingen. Beveiligingsmaatregelen zoals wachtwoordloze authenticatie en multi-factor authentication (MFA) zijn belangrijk, maar lossen het probleem van takenscheiding niet volledig op.
Van wachtwoorden naar cookies
Aanvallers passen hun technieken aan en kiezen vaak de gemakkelijke weg. Omdat MFA het misbruiken van gestolen wachtwoorden steeds lastiger maakt, richten zij zich nu vaker op sessiecookies. Een sessiecookie bewijst al dat een gebruiker succesvol is geauthenticeerd. Wie die cookie heeft, hoeft geen wachtwoord meer in te voeren en wordt dus ook niet opnieuw geconfronteerd met MFA.
Een aanvaller kan dus met één gestolen cookie dezelfde rechten krijgt als het slachtoffer. Gaat het om een IT-beheerder, dan betekent dat directe toegang tot de configuratie, gebruikersrechten en beveiligingsinstellingen. In sectoren met kritieke infrastructuur is dit risico al langer bekend, wat zorgt tot strengere eisen en gespecialiseerde beveiligingsoplossingen. Tegelijker zorgen regelgeving en compliance-verplichtingen voor extra druk, waardoor bedrijven steeds vaker moeten balanceren tussen kosten, gebruiksgemak en veiligheid.
Het stelen van logingegevens is nog altijd populair. Phishingcampagnes en brute-force-aanvallen leveren dagelijks enorme hoeveelheden gebruikersnamen en wachtwoorden op, die voor lage bedragen worden doorverkocht op illegale marktplaatsen. Uit onderzoek van Verizon blijkt dat bij een groot van de aanvallen op webapplicaties gebruik werd gemaakt van gestolen gegevens. MFA heeft dit soort aanvallen minder effectief gemaakt. Zelfs met een juist wachtwoord komt een aanvaller vaak niet verder zonder toegang tot een tweede factor. Daar ligt de kracht van sessiecookie-diefstal: MFA is al gebeurd op het moment dat de cookie wordt aangemaakt.
Waarom gestolen sessiecookies zo gevaarlijk zijn
Bij het inloggen op een webapplicatie wordt een authenticatiesessie gemaakt. Die sessie wordt meestal vastgelegd in een cookie, die de browser automatisch meestuurt bij elke nieuwe aanvraag. Dit mechanisme is efficiënt en gebruiksvriendelijk, maar vormt ook een aantrekkelijk doelwit.
Als een aanvaller die cookie weet te bemachtigen, kan hij de actieve sessie overnemen zonder verdere verificatie. Is de gebruiker een beheerder binnen Microsoft Entra, dan kan hij het beveiligingsbeleid aanpassen en nieuwe beheerdersaccounts aanmaken. Omdat de sessie al geldig is, speelt MFA hier geen rol meer. In verschillende incidenten bleek token- of cookie-diefstal zelfs de belangrijkste methode om MFA te omzeilen bij toegang tot clouddiensten.
Infostealers maken veel slachtoffers
De meest gebruikte methode om sessiecookies te stelen is het inzetten van infostealers. Die worden verspreid via phishing, malafide downloads of nepadvertenties en zijn specifiek ontworpen om browsergegevens te verzamelen, waaronder cookies, opgeslagen wachtwoorden en sessietokens. Statistieken uit 2025 laten zien dat infostealers het grootste deel van de gedetecteerde malwarefamilies vormen. Een bekend voorbeeld is Lumma Stealer, dat wereldwijd honderdduizenden systemen infecteerde. Internationale opsporingsdiensten hebben delen van de infrastructuur ontmanteld, maar de malware keert later steeds terug.
lees ook
Klassieke cyberaanvallen worden slimmer en moeilijker te detecteren
Sessiecookies zijn maar beperkt geldig: van enkele uren tot enkele weken. Toch zijn ze heel waardevol. Aanvallers handelen snel en bieden gestolen cookies vaak al binnen 24 uur te koop aan. In veel ransomware-incidenten dook de naam van het slachtoffer eerst op in logs van infostealers of op ondergrondse fora. Er bestaan verschillende maatregelen om de impact van cookie-diefstal te beperken. Sessies kunnen bijvoorbeeld worden gekoppeld aan een specifieke context, zoals een apparaat of IP-adres, waardoor een cookie elders onbruikbaar wordt. Ook het verkorten van sessieduur en het verplichten van herauthenticatie bij gevoelige acties helpen om misbruik te beperken.
Isolatie als laatste verdediging
Deze maatregelen werken niet meer als een endpoint volledig is gecompromitteerd en een aanvaller direct kan meewerken binnen de actieve sessie. In dat geval is zwaardere isolatie nodig. Oplossingen zoals HP Sure Access Enterprise draaien gevoelige applicaties in sterk afgeschermde micro-virtuele omgevingen, los van het onderliggende besturingssysteem. Zelfs als het apparaat besmet is, kunnen sessiecookies niet worden buitgemaakt of misbruikt. Zo krijgen bedrijven de voordelen van strikte privilege-scheiding, vergelijkbaar met PAW-concepten, zonder de operationele nadelen van meerdere apparaten.
Conclusie
Sessiecookie-diefstal is geen klein probleem meer, maar een serieuze dreiging. Hybride werken en browser-gebaseerd cloudbeheer vergroten het aanvalsoppervlak en bieden aanvallers nieuwe kansen om beveiligingslagen te omzeilen. Klassieke maatregelen blijven belangrijk, maar schieten tekort als een endpoint is gecompromitteerd. Bedrijven moeten inzetten op beveiliging die ook werkt in een besmet scenario. Alleen zo blijven kritieke systemen en gegevens ook écht beschermd.
