Aanvallen gericht op het overnemen van bedrijfsaccounts nemen toe. Volgens onderzoek van Abnormal Security is 83% van de onderzochte organisaties het afgelopen jaar getroffen door ten minste één accountovername-aanval en meldde 26% elke week te maken te hebben met een poging tot accountovername. En in Protons SMB Cybersecurity Report ontdekten we dat 1 op de 4 kleine bedrijven is gehackt, ondanks hun cybersecuritymaatregelen.

De financiële impact kan ook ernstig zijn. Onderzoek van IBM meldt dat dataschendingen waarbij leveranciers in gevaar worden gebracht en accounts worden overgenomen gemiddeld bijna 5 miljoen USD aan kosten met zich meebrengen, waarbij de tijdlijn voor beheersing vaak de 250 dagen overschrijdt.

Die combinatie van frequentie en impact verklaart waarom accountovername zo gevaarlijk is voor bedrijven: aanvallers kunnen simpelweg inloggen met legitieme inloggegevens en vanuit de organisatie gaan opereren, vaak nog voordat iemand beseft dat het account niet langer vertrouwd is.

In het VK laat het rapport Cyber Security Breaches Survey 2025 van de overheid ook zien dat overnamepogingen en accounts die in gevaar zijn gebracht deel uitmaken van het bredere incidentbeeld. Voor bedrijven maakt dat accountovername meer dan alleen een inlogprobleem. Het is een risico voor identiteitsbeveiliging, fraude en bedrijfscontinuïteit.

Wat is een accountovername-aanval?

Hoe accountovername verschilt van traditionele aanvallen

De meest voorkomende methoden voor accountovername

Waarom zakelijke accounts waardevolle doelwitten zijn

Detectiesignalen waar bedrijven op moeten letten

De zakelijke impact van accountovername

Uw praktische reactieplan bij een vermoedelijke accountovername

Bouwen aan een sterkere beveiligingscultuur rondom toegang tot accounts

Hoe Proton Pass for Business het risico op accountovername verkleint

Wat is een accountovername-aanval?

Cybercriminelen lanceren accountovername-aanvallen door ongeoorloofde toegang te verkrijgen tot een legitiem account en dit vervolgens voor kwaadaardige doeleinden te gebruiken. In bedrijfsomgevingen betekent dit meestal het bemachtigen van het wachtwoord van een medewerker, het onderscheppen van hun verificatieflow of het op een andere manier verkrijgen van geldige toegang tot een werkaccount.

Eenmaal binnen kan een aanvaller interne communicatie lezen, accountinstellingen wijzigen, overstappen naar verbonden apps, vertrouwelijke bestanden exporteren of zich voordoen als de medewerker in gesprekken met collega’s, leveranciers of klanten. Omdat de aanvaller geldige toegang heeft verkregen in plaats van zichzelf met geweld toegang te verschaffen via een zichtbaar defect systeem, lijken de activiteiten heel normaal.

Dit is wat het in gevaar brengen van een zakelijk account zo gevaarlijk maakt. Een aanvaller kan een normale gebruiker lijken totdat de schade al is aangericht.

Hoe accountovername verschilt van traditionele aanvallen

Accountovername is zo ontwrichtend omdat het niet zo gemakkelijk te herkennen is als het soort overduidelijke aanval of schending die veel teams verwachten.

Beveiligingsteams van bedrijven zoeken vaak naar malware(nieuw venster), uitgebuite kwetsbaarheden, gecorrumpeerde systemen of verdachte uitvoering van code. Bij een incident met een accountovername is er mogelijk geen systeem geschonden in de gebruikelijke zin, omdat de aanvaller legitieme inloggegevens en gewone aanmeldingsstromen heeft gebruikt.

Dit verschil is belangrijk omdat teams moeten letten op misbruik van inloggegevens in plaats van inbraak via de perimeter. Wanneer een aanvaller inlogt via dezelfde inlogpagina als ieder ander met geldige inloggegevens, lijkt de activiteit op zichzelf niet verdacht.

Detectie hangt dan minder af van het ontdekken van technische problemen en meer van het opmerken van ongewoon gedrag, zoals vreemde inlogpatronen, onverwachte wachtwoordresets of abnormale toegangsaanvragen.

Met andere woorden, accountovername slaagt vaak door misbruik te maken van het normale vertrouwensmodel van de organisatie.

De meest voorkomende methoden voor accountovername

Aanvallers kunnen verschillende beproefde methoden gebruiken om toegang te krijgen tot zakelijke accounts. Sommige zijn opportunistisch, terwijl andere zeer gericht zijn.

Credential stuffing

Credential stuffing vindt plaats wanneer aanvallers gebruikersnamen en wachtwoorden gebruiken die zijn gelekt bij gegevensschendingen en deze testen bij andere diensten. Dit werkt omdat mensen vaak wachtwoorden hergebruiken voor zowel persoonlijke als zakelijke accounts.

Dit maakt unieke wachtwoorden een van de beste verdedigingsmiddelen van uw organisatie tegen accountovername. Proton’s Data Breach Observatory toont aan dat namen en e-mailadressen voorkomen in bijna 9 van de 10 schendingen, terwijl wachtwoorden worden blootgesteld in 47% van de incidenten. Wanneer die inloggegevens worden hergebruikt bij verschillende diensten, creëert één lek al snel een risico op accountovername.

Phishing

Phishing blijft een van de meest voorkomende routes naar zakelijke accounts. Het kan worden gebruikt om wachtwoorden, sessietokens of MFA-goedkeuringen te stelen, die allemaal direct kunnen leiden tot accountovername.

Sim-swapping

Sim-swapping vindt plaats wanneer een aanvaller een mobiele provider ervan overtuigt om het nummer van een slachtoffer over te zetten naar een simkaart waarover zij de controle hebben. Als een bedrijf nog steeds sterk leunt op SMS-gebaseerde verificatie, kunnen aanvallers eenvoudig inlogcodes onderscheppen.

Ter bescherming tegen sim-swapping zijn methoden voor tweestapsverificatie (2FA) veel veiliger en geschikter voor zakelijke accounts met een hoger risico.

2FA-moeheid en sessiediefstal

Zelfs wanneer 2FA is ingeschakeld, kunnen aanvallers proberen gebruikers uit te putten met herhaalde goedkeuringsverzoeken of sessietokens stelen via phishing en malware. 2FA is essentieel, maar op zichzelf niet voldoende.

Password spraying

Password spraying is een type brute force-aanval(nieuw venster), waarbij aanvallers een set veelgebruikte wachtwoorden proberen bij veel verschillende accounts. In plaats van één gebruiker te bestoken met honderden gissingen, testen ze zwakke standaardwachtwoorden zoals “Welkom123!” of voorspelbare bedrijfsgerelateerde patronen bij een grotere groep werknemers.

Waarom zakelijke accounts doelwitten met een hoge waarde zijn

Zakelijke accounts zijn aantrekkelijk vanwege de gegevens en gelden die ze mogelijk bevatten. Een gecompromitteerd e-mailaccount kan zakelijke e-mailfraude mogelijk maken: bijvoorbeeld betalingsfraude, een vorm van oplichting waarbij criminelen een e-mail op maat maken voor een organisatie, zich voordoen als een legitiem contactpersoon en proberen betalingen om te leiden of gevoelige informatie te verkrijgen.

Een gecompromitteerd beheerdersaccount kan nog schadelijker zijn. Het kan aanvallers in staat stellen wachtwoorden te resetten, toegang te krijgen tot aanvullende systemen, gegevens te exporteren of beveiligingsinstellingen te verzwakken. Zodra dat gebeurt, kan een enkele gecompromitteerde identiteit leiden tot een veel groter incident.

Zelfs gewone accounts van werknemers kunnen verbonden zijn met:

  • E-mail en agenda’s.
  • CRM en tools voor klantenondersteuning.
  • HR- en salarissystemen.
  • Cloudopslag.
  • Interne chat- en samenwerkingsplatformen.
  • Gedeelde inloggegevens en wachtwoordkluizen.
  • Tools voor ontwikkelaars of infrastructuur.

Het kapen van zakelijke accounts gaat verder dan alleen fraude. Het is een probleem met toegangsbeheer dat gevolgen kan hebben voor de gehele organisatie.

Detectiesignalen waar bedrijven op moeten letten

Omdat het overnemen van accounts vaak begint met geldige inloggegevens, hangt detectie af van het signaleren van onregelmatig gedrag.

  • Ongebruikelijke inlogtijden of -locaties: Een inlogpoging vanuit een onbekend land of regio, of volgens een ongewoon tijdspatroon, kan verdacht zijn, vooral als deze wordt gevolgd door configuratiewijzigingen.
  • Onverwachte verzoeken voor het resetten van het wachtwoord: Werknemers die e-mails ontvangen over het resetten van hun wachtwoord waar zij niet om hebben gevraagd, zien mogelijk de eerste tekenen van een poging tot accountovername.
  • Onbekende apparaten of browsers: een inlogpoging vanaf een nooit eerder gezien apparaat is het onderzoeken waard, met name wanneer dit gepaard gaat met ongebruikelijke toegang tot apps of ongewoon deelgedrag.
  • 2FA-prompts die niet door de accounteigenaar zijn geïnitieerd: Onverwachte 2FA-goedkeuringen kunnen een signaal zijn dat iemand al over een wachtwoord beschikt en probeert de tweede beveiligingslaag te passeren.
  • Wijzigingen in het postvak of de doorstuurregels: Aanvallers die e-mailaccounts in gevaar brengen, maken vaak regels aan om berichten te verbergen, e-mail door te sturen of toegang te behouden.
  • Ongebruikelijke activiteit in gevoelige tools: Een gebruiker die plotseling toegang zoekt tot financiële systemen, beheerdersdashboards, exportfuncties of gedeelde geheimen op een manier die niet past bij de normale verantwoordelijkheden, kan wijzen op een inbreuk.
  • Verdachte wijzigingen in kluizen of gedeelde inloggegevens: als wachtwoorden worden gewijzigd, opnieuw worden gedeeld of op ongebruikelijke wijze worden geraadpleegd, kan dit een teken zijn van accountmisbruik in plaats van normale samenwerking.

De zakelijke impact van accountovername

De reden waarom fraude door accountovername zo ernstig is, is dat één identiteit die in gevaar is gebracht plotseling verschillende soorten schade kan veroorzaken. Er is het onmiddellijke frauderisico. Een aanvaller kan zich voordoen als een leidinggevende, werknemer of leverancier om betalingswijzigingen of vertrouwelijke informatie aan te vragen.

Er is ook het datariscico. Een account dat in gevaar is gebracht, kan contracten, klantgegevens, interne bestanden of gevoelige communicatie blootstellen.

Daarnaast is er het operationele risico. Teams moeten mogelijk accounts blokkeren, inloggegevens wijzigen, toegang intrekken, logboeken controleren, communicatie verifiëren en controleren op laterale verplaatsingen.

Als de aanvaller geprivilegieerde systemen bereikt, kan het incident escaleren tot ver voorbij één account dat in gevaar is gebracht. Ze kunnen mogelijk ransomware implementeren, toegang tot kritieke systemen behouden of een bredere inbreuk in de gehele omgeving inschakelen.

Op dat punt is het probleem niet langer simpelweg het beveiligen van de identiteit van een gebruiker. Het kan de bedrijfsvoering verstoren, het herstel vertragen en het vermogen van de organisatie om normaal te functioneren aantasten, en daarom moet accountovername worden opgenomen in de bedrijfscontinuïteitsplanning.

Uw praktische reactieplan voor een vermoedelijke accountovername

Zelfs met sterke preventieve controles moeten bedrijven klaar zijn om snel te reageren wanneer een accountovername wordt vermoed. Een snelle, gestructureerde reactie kan helpen het incident te beperken voordat het zich verspreidt naar andere systemen of workflows.

  1. De eerste stap is het beperken van het risico door het tijdelijk uitschakelen van het betreffende account, het intrekken van actieve sessies en het resetten van inloggegevens. Teams moeten vervolgens recente inlogactiviteiten en alle verdachte wijzigingen die aan het account zijn gekoppeld, controleren. Als het account uitgebreidere machtigingen of toegang tot gevoelige tools heeft, moet de reactie nog sneller zijn.
  2. Vanaf dat punt moet de focus verschuiven naar de omvang. Bedrijven moeten begrijpen waartoe de aanvaller mogelijk toegang heeft gekregen, wat er is gewijzigd of gebruikt terwijl deze in het account was, inclusief e-mailregels, verbonden apps, gedeelde inloggegevens en tekenen van laterale verplaatsing.
  3. Het is ook belangrijk om eventuele gerelateerde blootstelling te beperken. Een identiteit die in gevaar is gebracht, kan invloed hebben op financiële processen, communicatie met leveranciers, interne tools of klantgegevens, dus de reactie mag niet stoppen bij het account zelf.
  4. Zodra het onmiddellijke risico onder controle is, moet het incident worden gebruikt om te versterken wat er misging, of dat nu betekent dat de hygiëne van inloggegevens moet worden verbeterd, de handhaving van 2FA moet worden aangescherpt of de detectie via logboeken en workflows voor identiteitsmonitoring moet worden verbeterd. Deze tools helpen verdachte inlogpatronen aan de oppervlakte te brengen, zoals ongebruikelijke locaties, herhaalde mislukte pogingen, toegang op ongebruikelijke uren of onverwachte accountwijzigingen, zodat beveiligingsteams eerder onderzoek kunnen doen.

Bouwen aan een sterkere beveiligingscultuur rondom accounttoegang

Accountovername gedijt wanneer toegang wordt behandeld als een kwestie van gemak in plaats van een beveiligingsdiscipline.

Een sterkere beveiligingscultuur betekent dat werknemers begrijpen dat inloggegevens niet alleen persoonlijke logins zijn. Het zijn toegangssleutels tot bedrijfssystemen, klantvertrouwen en operationele continuïteit. Het betekent ook dat organisaties van het veilige pad het makkelijke pad maken door teams de juiste tools, een helder beleid en gecentraliseerde ondersteuning te bieden.

Dat is waar wachtwoordbeheerders voor bedrijven, passkeys, Dark Web Monitoring, sterkere 2FA-praktijken en veilige offboarding samenwerken. Deze controles helpen het hergebruik van inloggegevens te verminderen, de accounthygiëne te verbeteren en de schade die één gecompromitteerd account kan aanrichten te beperken.

Detectie behoort tot de bredere monitoringlaag, maar wachtwoordbeheerders kunnen dit nog steeds ondersteunen door logboeken en rapporten te genereren die invoer bieden voor onderzoeks- en waarschuwingssystemen. Samen maken deze controles accountovername moeilijker uit te voeren en gemakkelijker te beheersen.

Hoe Proton Pass for Business het risico op accountovername vermindert

Veel incidenten met accountovername beginnen met gelekte, zwakke of hergebruikte inloggegevens en escaleren vervolgens omdat werknemers geen consistente manier hebben om sterke wachtwoorden te genereren, deze veilig op te slaan, 2FA betrouwbaar te gebruiken of vroege tekenen van blootstelling op te merken. Proton Pass for Business vermindert dat risico door sterkere accountpraktijken gemakkelijker toepasbaar te maken voor teams, in plaats van ze alleen maar aan te bevelen.

Sterkere wachtwoordhygiëne op schaal

Een veilige wachtwoordbeheerder ondersteunt het genereren van sterke wachtwoorden, automatisch aanvullen, veilige opslag en veilig delen, wat teams helpt om af te stappen van hergebruikte wachtwoorden, wildgroei aan browsers en informele omgang met inloggegevens.

Dit is essentieel voor het voorkomen van accountovername, omdat aanvallers vaak vertrouwen op wachtwoordhergebruik en voorspelbare inloggewoonten om één gelekte inloggegeven om te zetten in toegang tot meerdere diensten. Proton Pass ondersteunt ook passkeys, die de afhankelijkheid van wachtwoorden voor ondersteunde diensten verminderen en phishing-resistente inlogbeveiliging bieden. Het biedt ook een ingebouwde 2FA-authenticator en het automatisch aanvullen van TOTP-codes, waardoor sterkere inloggewoonten consistenter kunnen worden gebruikt.

Beter inzicht in gelekte en risicovolle inloggegevens

Proton Pass bevat Pass Monitor, wat inzicht biedt in de wachtwoordgezondheid, Dark Web Monitoring-waarschuwingen voor geschonden e-mails en zichtbaarheid van inactieve 2FA. In de praktijk helpt dat organisaties om zwakke, hergebruikte of reeds gelekte inloggegevens te identificeren voordat ze worden misbruikt bij credential stuffing of daaropvolgende overnamepogingen.

Een wachtwoordbeheerder voor bedrijven is ideaal voor het voorkomen van accountovername. Het helpt teamleden om inloggegevens veilig op te slaan en te beheren, en helpt teams bij het identificeren van de gegevens die het grootste risico vormen voor de rest van de organisatie.

Bruikbaardere 2FA in het dagelijkse werk

2FA helpt een gestolen wachtwoord op zichzelf minder bruikbaar te maken, maar de acceptatie loopt vaak spaak wanneer het onhandig of gefragmenteerd aanvoelt. Proton Pass helpt hierbij door een ingebouwde 2FA-authenticator en automatisch aanvullen voor OTP-codes te ondersteunen, wat sterkere inloggewoonten gemakkelijker maakt voor consistent gebruik bij ondersteunde accounts. Dat vervangt geen bredere identiteitscontroles, maar het dunt wel een van de praktische mazen uit waar aanvallers vaak misbruik van maken.

Beheerderscontrole en beveiligingssignalen die onderzoek ondersteunen

Proton Pass draagt ook bij aan nuttige zichtbaarheid voor beheerders en beveiliging via rapportage, logboeken en activiteitsinformatie. Dit helpt organisaties om activiteiten met betrekking tot inloggegevens te beoordelen, interne onderzoeken te ondersteunen en relevante signalen door te geven aan bredere beveiligingsworkflows waar dat nodig is.

Hoe Proton Sentinel Proton Pass for Business aanvult

Proton Sentinel is een geavanceerd programma voor accountbeveiliging dat beschikbaar is voor in aanmerking komende Proton-abonnementen. Het creëert een sterkere beschermingslaag voor Proton-accounts zelf, inclusief strengere uitdagingen bij verdachte inlogpogingen, meer inzicht in logins en accountwijzigingen, en 24/7 escalatie van verdachte gebeurtenissen naar beveiligingsanalisten.

Dat maakt het relevant voor het beschermen van de toegang tot het Proton-account en daarmee de gevoelige gegevens die binnen de Proton-diensten zijn opgeslagen. Maar het mag niet zo worden gepresenteerd alsof het verdachte logins detecteert in de gehele SaaS-stack van een bedrijf.

Proton Pass for Business helpt het risico op accountovername te verminderen door de wachtwoordhygiëne te verbeteren, MFA gemakkelijker in gebruik te maken, gelekte of zwakke inloggegevens eerder aan het licht te brengen en teams betere controle te geven over hoe inloggegevens binnen de organisatie worden beheerd. Proton Pass for Business versterkt de praktijken rondom inloggegevens die aanvallers het vaakst uitbuiten, terwijl Proton Sentinel een extra beschermingslaag kan toevoegen voor het Proton-account zelf.

Klaar om te beginnen? Bescherm uw bedrijfsaccounts tegen overname met Proton Pass — probeer het gratis of neem contact op met ons verkoopteam.