Organisaties beheren tegenwoordig duizenden menselijke en niet-menselijke identiteiten binnen cloudomgevingen, SaaS-applicaties, endpoints en externe werkomgevingen. Door de groei van hybride werken, Bring-Your-Own-Device (BYOD) en toegang voor derden verliezen securityteams het overzicht over wie waar toegang toe heeft en of die toegang betrouwbaar is. Aanvallers maken misbruik van deze complexiteit, omdat het compromitteren van een account vaak sneller en geruislozer gaat dan het direct exploiteren van kwetsbaarheden in de infrastructuur. Voor verdedigers blijft het detecteren van kwaadaardige activiteiten die gekoppeld zijn aan legitieme identiteiten een van de grootste uitdagingen.

De toename van accountovername-aanvallen wordt onder andere veroorzaakt doordat credential abuse een van de meest betrouwbare methoden blijft voor aanvallers om toegang te krijgen. In 2025 waren credentials betrokken bij 22% van de datalekken. Aanvallers verkrijgen gebruikersnamen en wachtwoorden via infostealer malware, phishingcampagnes of credential dumps van eerdere inbreuken. Hoewel multi-factor authenticatie (MFA) nog steeds een belangrijke verdedigingslinie is, passen aanvallers hun tactieken aan om juist het authenticatieproces zelf te omzeilen. Een bekende techniek is MFA-moeheid, ook wel prompt bombing genoemd, waarbij herhaaldelijk MFA-verzoeken worden gestuurd totdat de gebruiker er een goedkeurt uit frustratie. Een voorbeeld hiervan was in 2022 bij Uber, waar aanvallers via deze methode toegang kregen en vervolgens privileges konden escaleren, wat leidde tot een grote cloudinfrastructuurcompromittering en blootstelling van werknemersgegevens.

Daarnaast gebruiken aanvallers technieken zoals adversary-in-the-middle frameworks en session hijacking tools om MFA volledig te omzeilen door geauthenticeerde sessietokens te stelen na het inloggen. Phishingaanvallen zijn ook steeds geraffineerder geworden. Aanvallers maken gebruik van legitieme hostingdiensten, vertrouwde domeinen, reverse proxies en AI-gegenereerde content om phishingpagina's te creëren die vrijwel niet van echte inlogportalen te onderscheiden zijn. Zo ontdekte Specops’ moederbedrijf Outpost24 recent een phishingcampagne waarbij een legitiem Cisco-domein werd misbruikt via een multi-chain redirect aanval om detectie te ontwijken en geloofwaardigheid te verhogen.

De uitbreiding van het aantal apparaten waarmee werknemers toegang krijgen tot bedrijfsapplicaties, zoals persoonlijke laptops en onbeheerde mobiele apparaten, vergroot het aanvalsoppervlak. IT-afdelingen hebben hierdoor minder zicht op de beveiligingsstatus van deze apparaten, wat het risico op malware-infecties en ontbrekende updates vergroot. Vooral infostealer malware speelt een grote rol bij accountovernames doordat het credentials, in browsers opgeslagen wachtwoorden en sessiecookies direct van gebruikersapparaten kan stelen. Oplossingen zoals Specops Device Trust helpen door continu te scannen op actieve bedreigingen tijdens sessies en zo de veiligheid van endpoints te verbeteren.