ITDR in de praktijk: hoe een betrouwbare e-mail bijna leidde tot een account takeover

ITDR speelt een belangrijke rol omdat aanvallers zich richten op identiteiten. In dit praktijkvoorbeeld wordt een medewerker slachtoffer van een geavanceerde phishingaanval via een overgenomen e-mailaccount. De aanvaller misbruikt context en vertrouwen, waardoor de e-mail en Microsoft 365-inlogpagina legitiem lijken. Na het invoeren van gegevens en goedkeuren van MFA krijgt de aanvaller toegang en neemt het account over door sessies en instellingen te wijzigen. In dit artikel leggen we uit hoe ITDR helpt om de kans op dit soort aanvallen aanzienlijk te verkleinen.

Geplaatst op: 8 juni, 2026
Leestijd: 4 minuten
Auteur: Wesley Jacobs

Identity Threat Detection and Response (ITDR) speelt een steeds grotere rol in moderne cybersecurity. Aanvallers richten zich namelijk niet langer alleen op systemen, maar vooral op identiteiten. Bovendien misbruiken ze accounts, sessies en het vertrouwen in bestaande communicatie.

Daardoor zien aanvallen er vaak volledig legitiem uit. Ze sluiten naadloos aan op echte gesprekken en normale werkprocessen. Juist daardoor wordt detectie lastiger en neemt het risico toe. In dit praktijkvoorbeeld leggen we uit hoe een ogenschijnlijk normale e-mail bijna leidde tot een volledige account takeover. Tegelijkertijd wordt zichtbaar hoe ITDR werkt en ingrijpt voordat er echte schade ontstond.

Een vertrouwde e-mail die volledig logisch leek

Een medewerker ontving een phishing e-mail van een bekende relatie. Op het eerste gezicht was alles normaal. De toon, timing en inhoud klopten namelijk volledig. Daarnaast stond in de e-mail dat er de volgende dag een link zou volgen. Dit paste precies in een lopende conversatie. Daarom was er geen enkele reden tot wantrouwen.

Wat de medewerker echter niet wist, was dat het account van de relatie al eerder was overgenomen. De aanvaller had bovendien wekenlang meegelezen in de mailbox. Daardoor kende hij de context, afspraken en communicatiepatronen zeer goed. Zodoende kon hij de volgende stap perfect voorspellen.

De volgende dag kwam de verwachte e-mail inderdaad binnen. Met daarin precies het aangekondigde linkje. Alleen kwam deze niet van de echte relatie. In werkelijkheid verstuurde de aanvaller de e-mail vanuit het overgenomen account. Hierdoor bleef alles ogenschijnlijk betrouwbaar. Juist die betrouwbaarheid zorgde ervoor dat het risico werd onderschat. Vervolgens werd de link zonder twijfel geopend.

De klik leidt naar een overtuigende Microsoft-omgeving

De link verwees naar een nagemaakte inlogpagina van Microsoft 365. Op het eerste gezicht leek de pagina volledig legitiem. Bovendien herkende de gebruiker direct de interface. Alles voelde vertrouwd en consistent met de echte omgeving.

Daarom werden de inloggegevens zonder argwaan ingevoerd. De context van de e-mail versterkte die beslissing alleen maar. Kort daarna volgde een MFA-pushmelding. Ook dat paste binnen een normale inlogpoging, althans op dat moment.

Vervolgens keurde de gebruiker de MFA-push goed. Dit leek immers een standaard beveiligingscontrole. Op dat exacte moment had de aanvaller geldige toegang. Vanaf dat punt verschoof de aanval direct naar de volgende fase.

Van inlog naar volledige controle over het account

Binnen enkele minuten begon de aanvaller actief met het overnemen van het account. De snelheid daarvan was hoog, maar nog niet zichtbaar voor de gebruiker. Daarnaast werden mailboxregels aangemaakt om berichten te verbergen of door te sturen. Dit gebeurde stil en grotendeels automatisch.

Tegelijkertijd werd MFA opnieuw geregistreerd. Dit keer op een apparaat dat volledig in handen was van de aanvaller. Hierdoor werd de gebruiker langzaam maar zeker buitengesloten. Zonder directe meldingen of duidelijke verstoring. Gaandeweg verschoof de aanval van initiële toegang naar volledige controle. Daardoor nam de potentiële schade snel toe.

ITDR detecteert afwijkingen in gedrag en context

Op dat moment zag onze ITDR-oplossing afwijkend gedrag. Niet op basis van één signaal, maar juist door een combinatie van signalen. Allereerst was er een ongebruikelijke inloglocatie en sessiecontext. Daarnaast veranderden instellingen opvallend snel.

Bovendien week het MFA-gedrag af van het normale patroon. Juist die combinatie maakte het verdacht. Het systeem koppelde deze signalen direct aan een lopende account takeover. Daardoor steeg de risico-score razendsnel.

Vervolgens werd automatisch ingegrepen. Sessies werden beëindigd en tokens direct ongeldig gemaakt. Daardoor verloor de aanvaller onmiddellijk zijn toegang. De aanval werd dus vroegtijdig onderbroken.

Van geblokkeerde aanval naar structurele weerbaarheid

De interventie voorkwam verdere schade. De mailbox bleef intact en er ontstond geen datalek. Toch liet de aanval zien hoe overtuigend moderne phishing is geworden. Alles draaide namelijk om context, timing en vertrouwen. Microsoft 365 werd hierbij misbruikt als geloofwaardige omgeving voor inlog en MFA.

Daarom is detectie op basis van alleen malware of links niet meer voldoende. Identiteit zelf vormt tegenwoordig het primaire aanvalsvlak. ITDR kijkt daarom naar gedrag, context en afwijkingen. Niet alleen naar toegang, maar juist naar intentie en patronen.

Conclusie: snelheid van detectie bepaalt de schade

Deze casus laat zien hoe snel een aanval kan escaleren. Van een e-mail naar volledige accountovername in slechts enkele minuten. Slechts één klik en een MFA-goedkeuring waren genoeg voor de aanvallen om het account over te nemen.

Zonder ITDR was deze aanval waarschijnlijk succesvol geweest. Met mogelijk ernstige gevolgen voor data en communicatie. ITDR maakte hier het verschil door (automatisch) vroeg in te grijpen. Het stopte de cyberaanval voordat deze zich verder kon uitbreiden binnen de organisatie.