Wat is token-diefstal?

Juli 22, 2025
Kaseya
Cyberbeveiliging

SaaS-applicaties zoals Microsoft 365 en Google Workspace zijn essentiële tools voor moderne productiviteit, communicatie en samenwerking, waardoor ze een aantrekkelijk doelwit vormen voor cybercriminelen. Volgens recent onderzoek zouden SaaS-inbreuken tussen september 2023 en 2024 met 300% toenemen.

Veel bedrijven nemen tegenwoordig krachtige maatregelen, zoals security , om te voorkomen dat kwaadwillenden toegang krijgen tot hun systemen en gegevens. Deze tokens gaan verder dan wachtwoorden en versterken security users te authenticeren en autoriseren users 2FA en MFA. Cybercriminelen hebben echter nieuwe methoden gevonden om deze tokens te stelen en MFA te omzeilen.

Dit jaar nog MSP een MSP op Reddit dat de Microsoft 365-e-mail van een klant was gehackt, ondanks dat MFA was ingeschakeld, en vroeg hij de community hoe de aanvallers erin waren geslaagd om dit te omzeilen.

SaaS-beveiligingsrisico's automatisch detecteren en verhelpen

Met Kaseya SaaS Alerts kunt SaaS Alerts inbreuken identificeren, directe waarschuwingen genereren en getroffen accounts vergrendelen, zodat u snel kunt reageren op SaaS-beveiligingsincidenten.

Aan de slag

Cybercriminelen worden steeds geraffineerder en gebruiken technieken zoals token theft en session hijacking om MFA te omzeilen. Veel bedrijven en dienstverleners zijn zich echter niet volledig bewust van deze aanvalsmethoden.

In dit artikel gaan we dieper in op wat token-diefstal is, hoe het werkt en wat u kunt doen om uw SaaS-omgevingen, users gegevens te beschermen.

Wat is diefstal van tokens?

Token-diefstal is het stelen van sessietokens of digitaal versleutelde sleutels om ongeoorloofde toegang te krijgen tot accounts of systemen. Token-diefstal vormt een grote bedreiging voor organisaties, omdat hackers die eenmaal in het bezit zijn van inlogtokens, zich kunnen voordoen als een user toegang kunnen krijgen tot gevoelige informatie, zelfs als er wachtwoorden of MFA worden gebruikt.

Traditioneel users hun gebruikersnaam en wachtwoord users telkens wanneer ze toegang willen krijgen tot een dienst of systeem. Users tokengebaseerde authenticatie Users , loggen één keer in en de inloggegevens worden geverifieerd via processen zoals MFA. Na een eerste login geeft het systeem een beveiligd token (zoals een digitale sleutel) uit dat bewijst user de user geauthenticeerd user en toegang geeft tot beschermde resources een bepaalde periode. Cybercriminelen willen hiervan misbruik maken door geldige sessietokens te stelen.

Enkele veelgebruikte soorten tokens die in moderne authenticatie- en security worden gebruikt, zijn hardwaretokens zoals FIDO security , softwaretokens zoals Google of Microsoft Authenticator, toegangstokens of API-tokens, ID-tokens en ververstokens.

Hoe tokenroof werkt en gebruikte methoden

Gestolen tokens stellen hackers in staat om security zoals wachtwoorden en MFA te omzeilen, zich voor te doen als users toegang te krijgen tot accounts of systemen.

Wanneer een user bij een SaaS-applicatie, zoals Microsoft 365 of Google Workspace, genereert het systeem een authenticatietoken (een JSON Web Token (JWT) of sessiecookie). user dit token user de user de applicatie en resources bijbehorende resources hij zich meerdere keren achter elkaar hoeft aan te melden. Het token wordt opgeslagen op het apparaat user(in de browseropslag, het geheugen of sessiecookies) om de user te houden en een continue verbinding te behouden.

Als cybercriminelen erin slagen om dit token te stelen terwijl het nog geldig is, kunnen ze het invoeren in hun eigen browsers of tools en direct toegang krijgen tot het account user. Ze kunnen zich dan voordoen als de user, gevoelige informatie stelen of kwaadaardige activiteiten uitvoeren. Kortom, aanvallers kapen in feite de sessie user.

Veelgebruikte methoden om tokens te stelen

Phishing

Aanvallers sturen phishingmails met schadelijke koppelingen of bijlagen. Als ze op deze links klikken, worden ze omgeleid naar phishingsites die zijn ontworpen om echte inlogpagina's na te bootsen. Aanvallers maken gebruik van AiTM phishingkits die zowel inloggegevens als tokens vastleggen, waardoor ze MFA kunnen omzeilen.

Malware en informatiedieven

Cybercriminelen gebruiken kwaadaardige software, zoals RedLine of Raccoon Stealer, om tokens en sessiecookies uit de browser of apparaten userte halen. De malware scant de browseropslag en het applicatiegeheugen op zoek naar tokens die kunnen worden gestolen.

MitM-aanvallen

Bij dit soort aanvallen onderscheppen aanvallers netwerkcommunicatie om tokens onderweg vast te leggen. Ze positioneren zichzelf tussen het doelwit en de SaaS-service (bijvoorbeeld Microsoft 365). Ze gebruiken tools zoals Evilginx (een reverse proxy server) die authenticatiesessies onderscheppen en geldige sessietokens vastleggen.

Hergebruik van tokens en replay-aanvallen

Zodra aanvallers de tokens hebben gestolen, kunnen ze deze meerdere keren hergebruiken om toegang te krijgen tot systemen zonder dat ze inloggegevens of MFA nodig hebben. Met deze methoden kunnen aanvallers de gestolen tokens hergebruiken om zich voor te doen als een user herhaaldelijk ongeoorloofde toegang te krijgen tot een dienst, totdat de tokens verlopen of worden ingetrokken.

Token diefstal vs. sessiekaping: Wat is het verschil?

Token diefstal en sessie kaping zijn verwante maar verschillende aanvalsvectoren en gebruiken verschillende mechanismen.

Bij tokenroof gaat het om het ontfutselen of stelen van authenticatietokens, zoals OAuth-, API- of JWT-tokens. Bij session hijacking daarentegen wordt de controle over een actieve sessie overgenomen door gebruik te maken van een gestolen of onderschept sessietoken.

Hier volgt een kort overzicht van de verschillen tussen token theft en session hijacking.

KenmerkDiefstalSessiekaping
FocusAuthenticatietoken (OAuth, API, JWT)Sessie-ID of cookie
Gebruikelijke aanvalsmethodePhishing, malware, MiTMBrute kracht, cross-site scripting (XSS), MiTM, sessie fixatie
ToepassingsgebiedBreder (API's, mobiel, webapps)Typisch gericht op websessies
VolhardingLangere levensduur (afhankelijk van verlopen token)Actieve sessie of tot sessie verloopt

Afbeelding 1: Verschil tussen tokenroof en sessiekaping

De risico's en gevolgen van diefstal van tokens

Diefstal van tokens is een van de grootste bedreigingen voor bedrijven van dit moment. Met gestolen tokens kunnen aanvallers:

MFA omzeilen

Hierdoor kunnen cybercriminelen security zoals wachtwoorden en zelfs MFA omzeilen. Zo krijgen ze blijvend ongeoorloofde toegang zonder dat er MFA-waarschuwingen worden geactiveerd.

Ongeautoriseerde toegang tot account

Aanvallers gebruiken gestolen tokens om zich voor te doen als users. Zodra ze toegang hebben gekregen tot een account, richten ze zich op andere platforms zoals e-mail, sociale media of bedrijfsapplicaties. Ze kunnen zich lateraal binnen een systeem of netwerk verplaatsen of accountprivileges escaleren om hogere niveaus van toestemming en beheerdersrechten te verkrijgen.

Gevoelige gegevens compromitteren

Zodra een account is gehackt, hebben cybercriminelen toegang tot gevoelige resources user , financiële gegevens, e-mails, chats en andere clouddiensten. Dit kan leiden tot grootschalige gegevensdiefstal van SaaS-platforms zoals Microsoft 365 en Google Workspace. Cybercriminelen gebruiken de gestolen informatie om losgeld te eisen. Vaak worden de gestolen gegevens op dark web-forums verkocht voor financieel gewin.

De gevolgen van deze risico's kunnen leiden tot datalekken, financiële verliezen, niet-naleving van regelgeving en reputatieschade.

Vanwege de risico's die het met zich meebrengt, analyseert het Microsoft Detection and Response (DART) token-diefstal en de bijbehorende tactieken nauwkeurig. Microsoft DART streeft ernaar IT- en security te voorzien van de juiste kennis en strategieën om token-diefstal effectief aan te pakken.

Beste praktijken om diefstal van tokens te voorkomen

Hoewel diefstal van tokens een complexe, moderne bedreiging is, zijn er bepaalde stappen die je kunt nemen om dit risico te beperken.

Beleid voor voorwaardelijke toegang

Voorwaardelijke toegangsbeleidsregels kunnen worden toegepast in omgevingen zoals Microsoft Entra ID, Azure AD en Google Workspace. Deze beleidsregels evalueren de context van de toegang, wat kan helpen om het risico van token-diefstal te verminderen. Op basis van vooraf gedefinieerde regels controleren voorwaardelijke toegangsbeleidsregels meerdere factoren, zoals user , de nalevingsstatus van het apparaat, de locatie/het IP-adres, de applicatie waartoe toegang wordt verkregen en realtime risicobeoordelingen, voordat toegang wordt verleend.

users informeren

Hoewel werknemers het grootste kapitaal van een organisatie vormen, blijft risicovol user een van de zwakste schakels in cyberbeveiliging. In 2024 was meer dan 90% van de datalekken te wijten aan menselijke fouten.

Maak gebruik van trainingen om het bewustzijn rond beveiliging te vergroten en oplossingen om de kwetsbaarheid van gebruikers te testen, zoals BullPhish ID een essentieel onderdeel van Kaseya 365 User), om gebruikers te leren phishing-e-mails en valse inlogpagina's te herkennen. Leer hen over de risico's van het klikken op onbekende links, het hergebruiken van wachtwoorden en het gebruik van openbare Wi-Fi VPN.

Passkeys of hardwaretoetsen

Gebruik passkeys of hardwaresleutels zoals FIDO Security , Microsoft Authenticator-passkeys en Google-passkeys. Deze bieden een extra beveiligingslaag, omdat voor toegang tot de privésleutel Face ID, een vingerafdruk of een pincode voor het apparaat vereist is. Passkeys bieden een betrouwbaarder en user authenticatiemechanisme tegen cyberdreigingen zoals diefstal van tokens.

Hoe Kaseya 365 User helpt bij het voorkomen van token-diefstal

Aangezien cybercriminelen en hun tactieken zich snel blijven ontwikkelen, hebben bedrijven een robuuste, gelaagde verdedigingsstrategie nodig om hun SaaS-omgevingen, users gegevens op elk niveau te beschermen.

Kaseya 365 User is een uitgebreid abonnement dat alle essentiële cyberbeveiligingscomponenten bevat om uw Microsoft 365- of Google Workspace-omgeving te beveiligen. Van het in realtime detecteren van verdachte activiteiten en het automatisch reageren op bedreigingen tot het blokkeren van phishing-e-mails voordat ze de inbox van werknemers bereiken en het veilig back-uppen en herstellen van uw SaaS-gegevens, Kaseya 365 User staat voor u klaar.

Onze security trekt automatisch sessietokens in om ongeoorloofde toegang te blokkeren en reset wachtwoorden wanneer een aanval wordt gedetecteerd. Het correleert apparaatactiviteit, zoals inlogpatronen, met accountactiviteit om de kans op het detecteren van inbreuken te vergroten. Door apparaatgegevens te vergelijken met SaaS-applicatiegegevens, zorgt het ervoor dat alleen geautoriseerde users geautoriseerde apparaten toegang hebben tot de kritieke SaaS-applicaties van uw organisatie.

Ontdek hoe Kaseya 365 User u helpt bij het voorkomen van, reageren op en herstellen van aanvallen waarbij tokens worden gestolen. Meer informatie.

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Één platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

Concepten voor beveiligingsinformatie en incidentbeheer. Ambtenaren houden toezicht op gebeurtenissen en de veiligheid via virtuele schermen.

Wat is SIEM? Uitleg over de werking, toepassingen en voordelen

Ontdek hoe Security Information and Event Management (SIEM) organisaties helpt om potentiële beveiligingsrisico’s en kwetsbaarheden proactief op te sporen en aan te pakken.

Lees blogbericht

Back-upcontrole is nu nog slimmer: maak kennis met AI-gestuurde screenshotcontrole

In een tijdperk van aanhoudende cyberaanvallen, complexe infrastructuren en steeds hogere verwachtingen van klanten is het niet langer voldoende om alleen maar back-ups te hebben. Back-upsMeer lezen

Lees blogbericht
Richtlijn NIS 2. Europese regelgeving inzake cyberbeveiliging

Tien vragen die u uw IT-team kunt stellen over NIS2-naleving

Zorg ervoor dat uw organisatie klaar is om beveiligingsrisico’s het hoofd te bieden en zich te herstellen na incidenten. Lees de blog om meer te weten te komen over de tien belangrijkste aandachtspunten voor NIS2-naleving.

Lees blogbericht