Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Credential harvesting

Aanvallen

Het aanvallen van een organisatie om op illegale wijze inloggegevens (van werknemers) te verkrijgen.

Credential harvesting is een veelvoorkomende aanvalstechniek waarbij cybercriminelen systematisch inloggegevens van gebruikers verzamelen. Denk aan gebruikersnamen, wachtwoorden, e-mailadressen en andere authenticatiegegevens. De gestolen gegevens worden vervolgens gebruikt om toegang te krijgen tot bedrijfssystemen, verkocht op het dark web, of ingezet als springplank voor grotere aanvallen. In de eerste helft van 2025 werden wereldwijd 1,8 miljard credentials buitgemaakt, een stijging van 800 procent ten opzichte van het jaar daarvoor. Het Verizon Data Breach Investigations Report 2025 bevestigt dat gestolen credentials verantwoordelijk zijn voor 22 procent van alle datalekken over 12.195 bevestigde incidenten. Credential harvesting raakt vrijwel elke sector en is nauw verwant aan aanvallen als phishing en social engineering. De dreiging groeit exponentieel: in februari 2026 verscheen een compilatie van 16 miljard gelekte credentials op het dark web.

Hoe werkt credential harvesting?

Bij credential harvesting zet een aanvaller een mechanisme op om inloggegevens af te vangen. De meest gebruikte methode is het opzetten van een nepwebsite die visueel identiek is aan een legitieme inlogpagina. Slachtoffers worden via phishingmails of kwaadaardige advertenties naar deze pagina geleid. Zodra zij hun gegevens invoeren, worden deze direct doorgestuurd naar de aanvaller. Deze pagina's zijn soms nauwelijks van het origineel te onderscheiden, compleet met SSL-certificaat en een domeinnaam die sterk lijkt op het origineel.

Een tweede veelgebruikte techniek is het verspreiden van malware via e-mailbijlagen of gecompromitteerde websites. Zodra de malware is geinstalleerd, registreert deze automatisch alle toetsaanslagen of extraheert opgeslagen wachtwoorden uit browsers en wachtwoordmanagers. Keyloggers en credential stealers zoals Raccoon Stealer en RedLine zijn hierbij populaire tools. Deze malware draait ongemerkt op de achtergrond en stuurt periodiek buitgemaakte gegevens naar de aanvaller via versleutelde verbindingen.

Daarnaast gebruiken aanvallers man-in-the-middle-aanvallen om verkeer tussen gebruiker en server te onderscheppen. Bij deze techniek plaatst de aanvaller zich tussen het slachtoffer en de legitieme dienst, waardoor inloggegevens in realtime worden afgevangen. Moderne varianten zoals Evilginx2 kunnen zelfs MFA-tokens onderscheppen door als transparante proxy te fungeren. Ook credential stuffing, waarbij eerder gelekte wachtwoorden automatisch worden getest op andere diensten, valt onder het brede spectrum van credential harvesting. Aanvallers gebruiken hiervoor botnetwerken die miljoenen combinaties per uur kunnen testen.

Hoe herken je credential harvesting?

Je herkent credential harvesting aan verschillende signalen. Onverwachte inlogmeldingen van onbekende locaties of apparaten zijn een eerste waarschuwing. Als medewerkers melden dat hun wachtwoord plotseling niet meer werkt, kan dat wijzen op een gecompromitteerd account. Let ook op verdachte e-mails die aandringen op het bijwerken van inloggegevens of die linken naar onbekende domeinen. Controleer of de URL in de adresbalk exact overeenkomt met de verwachte website, inclusief subtiele afwijkingen als een extra letter of een ander topleveldomein.

Op netwerkniveau kun je credential harvesting detecteren door DNS-verkeer te monitoren op verbindingen naar bekende phishingdomeinen. Een SIEM-oplossing helpt bij het correleren van inlogpogingen en het identificeren van afwijkende patronen, zoals meerdere mislukte aanmeldpogingen vanaf hetzelfde IP-adres of succesvolle inlogpogingen vanuit geografisch onmogelijke locaties. Ongebruikelijke dataoverdrachten vanuit e-mailservers of authenticatiesystemen kunnen eveneens duiden op actieve credential harvesting.

Controleer regelmatig of bedrijfsaccounts voorkomen in bekende datalekken via diensten als Have I Been Pwned. Een plotselinge toename van spamberichten naar bedrijfsadressen kan erop wijzen dat e-mailadressen al zijn verzameld als eerste stap richting credential harvesting. Implementeer dark web monitoring om vroegtijdig te detecteren wanneer bedrijfscredentials op ondergrondse marktplaatsen worden aangeboden. Veel managed security-aanbieders bieden deze dienst aan als onderdeel van hun threat intelligence-pakket.

Hoe bescherm je je tegen credential harvesting?

De belangrijkste verdediging tegen credential harvesting is het implementeren van meerfactor authenticatie. Zelfs als een aanvaller inloggegevens bemachtigt, voorkomt MFA dat deze direct bruikbaar zijn. Gebruik bij voorkeur hardware tokens of authenticator-apps in plaats van sms-verificatie, die kwetsbaar is voor SIM swapping. FIDO2 hardware security keys bieden het hoogste beschermingsniveau omdat ze niet via phishing-proxies kunnen worden onderschept.

Train medewerkers om phishingpogingen te herkennen en verdachte e-mails te melden. Voer regelmatig phishingsimulaties uit om het bewustzijn hoog te houden en meet de resultaten over tijd om verbetering te volgen. Implementeer daarnaast e-mailfiltering met SPF, DKIM en DMARC om gespoofde afzenders te blokkeren. Gebruik een wachtwoordmanager zodat medewerkers unieke, sterke wachtwoorden hanteren per dienst. Hierdoor beperkt een gelekt wachtwoord de schade tot een enkel account in plaats van een kettingreactie door hergebruik.

Op technisch vlak helpt het inzetten van endpoint security-oplossingen die malware detecteren voordat deze credentials kan stelen. Netwerksegmentatie beperkt de laterale beweging van aanvallers die toch toegang verkrijgen. Overweeg ook het gebruik van conditional access policies die inlogpogingen blokkeren op basis van locatie, apparaat of risiconiveau. Implementeer passwordless authenticatie waar mogelijk, zodat er simpelweg geen wachtwoord is dat kan worden gestolen. Technologieen als Windows Hello for Business en passkeys maken wachtwoorden overbodig voor steeds meer toepassingen.

De evolutie van credential harvesting laat zien dat aanvallers steeds geavanceerder te werk gaan. Waar vroeger simpele phishingmails volstonden, maken moderne aanvallers gebruik van AI-gegenereerde berichten die nauwelijks van legitieme communicatie te onderscheiden zijn. Adversary-in-the-middle (AitM) aanvallen via tools als Evilginx2 en Modlishka kunnen zelfs MFA-tokens in realtime onderscheppen door als transparante proxy tussen het slachtoffer en de legitieme dienst te opereren. Dit maakt het essentieel om niet alleen op MFA te vertrouwen, maar ook phishing-resistente methoden als FIDO2 hardware keys te overwegen voor accounts met hoge privileges.

Op organisatieniveau is het cruciaal om een holistische aanpak te hanteren tegen credential harvesting. Implementeer een zero trust-architectuur waarin elke toegangspoging wordt geverifieerd, ongeacht of de gebruiker zich binnen of buiten het bedrijfsnetwerk bevindt. Combineer dit met continuous authentication die het gedrag van gebruikers monitort en afwijkingen detecteert, zelfs na een succesvolle inlog. Dark web monitoring-diensten waarschuwen je wanneer bedrijfscredentials op ondergrondse marktplaatsen verschijnen, zodat je proactief actie kunt ondernemen voordat de gestolen gegevens worden misbruikt.

Veelgestelde vragen over credential harvesting

Wat is het verschil tussen credential harvesting en credential stuffing?

Credential harvesting richt zich op het verzamelen van nieuwe inloggegevens via phishing of malware. Credential stuffing gebruikt eerder gelekte gegevens om geautomatiseerd in te loggen op andere diensten waar gebruikers hetzelfde wachtwoord gebruiken.

Hoe snel worden gestolen credentials misbruikt?

Gestolen credentials worden vaak binnen enkele uren ingezet. Geautomatiseerde systemen testen buitgemaakte gegevens direct op veelgebruikte diensten als e-mail, cloudopslag en VPN-toegang.

Is MFA voldoende bescherming tegen credential harvesting?

MFA vermindert het risico aanzienlijk, maar is niet waterdicht. Geavanceerde aanvallers gebruiken realtime phishing-proxies om ook MFA-tokens te onderscheppen. Combineer MFA daarom met endpoint security en monitoring.

Welke sectoren zijn het meest getroffen door credential harvesting?

De financiele sector, overheid en zorgsector zijn het vaakst doelwit vanwege de waarde van de data. Ook het MKB wordt steeds vaker getroffen omdat kleinere organisaties minder beveiligingsmaatregelen hebben.

Wat moet je doen als je slachtoffer bent van credential harvesting?

Wijzig direct alle wachtwoorden van getroffen accounts. Activeer MFA waar dat nog niet actief is. Controleer inloggeschiedenis op ongeautoriseerde toegang en meld het incident bij je security team en de Autoriteit Persoonsgegevens als persoonsgegevens zijn betrokken.

Bescherm je organisatie tegen credential harvesting. Vergelijk Identity & Access Management aanbieders op IBgidsNL.