Waarom sessiediefstal soms gevaarlijker is dan een gestolen wachtwoord

Het begint altijd onschuldig. Stel je voor: het is maandagochtend. Koffie erbij. Inbox open. Tussen de nieuwsbrief en een Teams‑melding staat een mailtje dat je meteen herkent: “Je sessie is verlopen. Log opnieuw in.”

Dat gebeurt wel vaker. Dus je denkt er niet over na en klikt. Je browser opent. Het scherm ziet er precies zo uit als altijd: het Microsoft‑logo, dezelfde kleuren, hetzelfde lettertype. Geen waarschuwingen. Geen foutmeldingen. Je typt je gebruikersnaam, je wachtwoord, doorloopt MFA en gaat verder met je werk. Niets aan de hand, toch?

Wat je op dat moment niet ziet, is dat je niet rechtstreeks naar Microsoft bent gegaan.
Je bent omgeleid. Tussen jou en Microsoft zit iemand anders. Onzichtbaar. Geduldig. Geen nep‑website dit keer, maar een man‑in‑the‑middle: een tussenstation dat jouw verkeer opvangt en doorstuurt naar de échte Microsoft‑inlogpagina. Alles wat jij ziet is legitiem. Alles wat Microsoft ziet ook.

En precies daar gaat het mis.

Op het moment dat jij succesvol inlogt, gebeurt er iets onzichtbaars: Microsoft geeft je sessiecookies mee. Kleine digitale sleutels die zeggen: “Deze gebruiker is geverifieerd. Deze sessie mag blijven bestaan.” Die sleutels worden niet alleen door jouw browser ontvangen. De aanvaller vangt ze óók op.
En dat is genoeg.
Vanaf dat moment hoeft die aanvaller niet meer in te loggen. Geen wachtwoord. Geen MFA. Geen nieuwe poging. Met jouw sessiecookies kan hij zich gewoon melden als jou. Voor Microsoft lijkt alles volkomen normaal. Het systeem ziet een geldige sessie, vanaf een geldige gebruiker, met geldige tokens.
Geen alarm. Geen blokkade.
Even later zit er iemand in je mailbox. Niet jij, maar iemand anders. Die leest mee, zonder haast. Zet mailregels klaar. Zoekt interessante gesprekken. Stuurt berichten uit jouw naam. Soms wordt zelfs extra beveiliging aangepast of uitgezet.

En jij?

Jij merkt nog steeds niets.

 
De aanval wordt pas echt gevaarlijk wanneer hij zich verspreidt. Niet met brute kracht of spectaculaire hacks, maar via vertrouwen. Vanuit jouw account wordt datzelfde mailtje doorgestuurd naar collega’s, klanten of partners.
En nu komt het van jou.
Mensen denken: “Als hij dit stuurt, zal het wel kloppen.” Ze klikken. Ze loggen in. Ook zij worden, zonder het te weten, via een tussenstation naar Microsoft geleid. Ook hun sessiecookies worden buitgemaakt.
Zo groeit de aanval. Stil. Beheerst. Inbox na inbox.
Achteraf zeggen slachtoffers bijna altijd hetzelfde:
“Ik heb niks gedownload.”
“Ik zag geen nep‑website.”
“Ik had MFA aan.”

En dat klopt allemaal.vHet enige wat ze deden, was inloggen bij Microsoft. Op een echte pagina. Met echte beveiliging. Maar via een route die zij niet zagen.
Dat is wat dit zo verraderlijk maakt.
Geen malware. Geen verdachte software. Geen duidelijke waarschuwingen.
Alles ziet er legitiem uit. Alles gebeurt via echte accounts. Alles gebeurt binnen normale sessies.
Daarom zien we dit type aanval steeds vaker.
Niet omdat mensen dom zijn, maar omdat ze menselijk zijn.
Dus onthoud dit:
moet je onverwacht opnieuw inloggen? Stop even.
Klik niet automatisch. Sluit het venster. Ga zelf naar de website. Of vraag het na.
Dat is geen paranoia.
Dat is digitale zelfverdediging.