Terug

#NieuwsAlgemeenAVGCookiesHackers en hacksMediaPrivacy Professional

Cookie Hijacking: Een onzichtbare dreiging voor tweefactorauthenticatie

Inleiding

De meeste mensen zijn inmiddels wel bekend met cookies en het feit dat ze een impact kunnen hebben op de privacy van degene bij wie ze geplaatst worden. Wil je meer weten over cookies en de AVG? lees dan deze blog! Cookies kunnen echter ook gebruikt worden om tweefactorauthenticatie (2FA) te omzeilen. Hoe doen hackers dit en hoe kun je jezelf beschermen tegen deze dreiging of is 2FA inmiddels achterhaald? In deze blog lees je het antwoord op deze vragen.

Cookies stelen

Wanneer een account is beveiligd met 2FA moet je na het inloggen met je wachtwoord en gebruikersnaam een code invullen die gegeneerd wordt op jouw 2FA app. Als hackers op dit account willen binnen dringen moeten ze ook je telefoon stelen, toch? Dit is echter niet het geval. Wanneer jij inlogt met behulp van 2FA dan plaatst de website een tijdelijke cookie om de browser te laten weten dat jij succesvol bent ingelogd. Anders zou je constant opnieuw moeten inloggen en opnieuw de 2FA code moeten invullen. Deze tijdelijke cookie kan echter ‘gestolen’ worden (ook wel: cookie hijacking). De hacker kopieert dan als het ware die tijdelijke cookie en zet deze dan in een andere browsersessie op diens eigen apparaat. Zo denkt die browser dat de 2FA ook in die browser is geslaagd dus wordt er aan de hacker niet gevraagd om de 2FA code in te vullen. Vervolgens heeft de hacker dus toegang tot jouw met 2FA beschermde account zonder toegang te hebben tot het apparaat waar de 2FA code op gegenereerd werd.

Het einde van 2FA?

In 2024 werden er zo’n 17.3 miljard cookies gestolen.[1] Betekent dit dan het einde van 2FA? Kort gezegd, nee! Voordat een hacker er daadwerkelijk in kan slagen om de 2FA cookies te stelen moet deze eerst toegang hebben tot het apparaat waarop via de browser ingelogd wordt. Dit kan onder andere door een succesvolle phishingaanval waarbij kwaadaardige software (ook wel: malware) op het apparaat geïnstalleerd wordt. Met behulp van deze software kunnen de 2FA cookies van het geïnfecteerde apparaat gestolen worden. 2FA is dus nog steeds een zeer effectieve manier om je accounts te beschermen tegen hackers die je wachtwoord achterhaald hebben. 2FA is echter geen panacea. Volledige bescherming tegen alle soorten cyberaanvallen is een illusie en ook 2FA kan dit niet bieden. Het blijft van belang om andere aspecten van cybersecurity in acht te nemen.

Hoe voorkom je cookie highjacking

Aangezien een hacker altijd toegang nodig heeft tot jouw browser of jouw apparaat is het van belang om alert te zijn op phishing aanvallen. Inmiddels zijn de meeste mensen wel bekend met de standaard phishingmailtjes van de bank of de pakketbezorger. Maar hackers blijven hun phishing technieken verbeteren door bijvoorbeeld generatieve AI te gebruiken om de mailtjes overtuigender te maken. Spel- en taalfouten zijn tegenwoordig steeds minder voorkomend bij phishingmailtjes. Echter kunnen deze mailtjes nog steeds herkend worden aan het feit dat de inhoud generiek is. De mailtje hebben een aanhef zoals “geachte klant” verder zijn ze afkomstig van een atypisch emailadres zoals servicedesk@cloudsupport.com in plaats van een emailadres wat je zou verwachten van de bank of de pakketbezorger. Een andere manier van toegang krijgen tot apparaten door hackers is doormiddel van kwaadaardige software voor te doen als nuttige software zoals stuurapparaten (ook wel: drivers) voor bijvoorbeeld printers. Let dus altijd op de bron waarvandaan je de software binnen haalt.

Alternatief

Mocht je toch liever geen gebruik maken van 2FA dan is er gelukkig ook een alternatief, Passkeys! Passkeys zijn een relatief nieuwe manier van inloggen waarbij geen wachtwoord meer nodig is. In plaats daarvan maakt het systeem gebruik van een cryptografisch sleutelpaar: een publieke sleutel op de server en een privésleutel op het apparaat van de gebruiker. De gebruiker verifieert zichzelf bijvoorbeeld via gezichtsherkenning of een pincode, waarna het apparaat de juiste sleutel stuurt om toegang te krijgen. Vanuit het perspectief van informatiebeveiliging zijn er enkele duidelijke voordelen. Passkeys zijn minder gevoelig voor phishing en hergebruik, omdat er geen geheim gedeeld wordt dat onderschept kan worden. Daarnaast hoeven gebruikers geen complexe wachtwoorden te onthouden of opslaan, wat de kans op menselijke fouten verkleint. Hoewel passkeys nog niet overal te gebruiken zijn, kunnen ze een waardevol alternatief vormen voor 2FA.

Concluderend

Hoewel 2FA een belangrijk middel blijft om accounts te beveiligen, is het geen allesomvattende oplossing. Door misbruik van sessiecookies via cookie hijacking kunnen aanvallers in sommige gevallen alsnog toegang krijgen zonder de tweede factor te doorlopen. Dit benadrukt het belang van aanvullende beveiligingsmaatregelen, zoals het voorkomen van phishing en het vermijden van onbetrouwbare softwarebronnen. Tegelijkertijd bieden passkeys een veelbelovend alternatief. Deze methode maakt gebruik van cryptografische sleutels in plaats van wachtwoorden, waardoor risico’s op phishing en misbruik van inloggegevens aanzienlijk worden beperkt. Hoewel de technologie nog niet overal toepasbaar is, lijkt het een waardevolle alternatief voor traditionele authenticatiemethoden.

Geschreven door Joshua Grünsfeld, Privacy & IT-jurist.

[1] SpyCloud 2025 Annual Identity Exposure Report.

Ook interessant:

Lees meer

#NieuwsAlgemeenPrivacy Professional

6 veelvoorkomende valkuilen bij het uitvoeren van een DPIA

Een Data Protection Impact Assessment (DPIA) is veel meer dan een verplicht vinkje. Het is een krachtig instrument om privacyrisico’s vroegtijdig te signaleren en verantwoord om te gaan met persoonsgegevens. Toch zien we in de praktijk dat DPIA’s regelmatig niet effectief worden ingezet – vaak doordat ze te laat, te globaal of te oppervlakkig worden uitgevoerd. In onze nieuwste blog bespreken we zes veelvoorkomende valkuilen bij het uitvoeren van een DPIA. We laten zien waarom het misgaat, en – belangrijker nog – hoe je een DPIA wél waardevol en werkbaar maakt voor jouw organisatie.
Lees meer

#NieuwsAlgemeenPrivacy Professional

Privacy is nooit af: Strategisch sturen en continu verbeteren met de Privacy-cyclus

Hoe weet je nou precies waar jouw organisatie staat op het gebied van privacy compliance? Ons antwoord: het Privacy Volwassenheidsmodel! Dat schreven we in een eerder blog over privacy volwassenheid. Met het Privacy Volwassenheidsmodel kan worden voorkomen dat investeringen een statisch en eenmalig karakter krijgen. Privacywetgeving vereist namelijk een dynamisch en cyclische implementatie. Maar hoe krijg je dat nou voor elkaar? Lees snel verder en kom erachter hoe het samenspel van twee cirkels jouw organisatie kan laten groeien in privacy volwassenheid! Waarom worden verzoeken met betrekking tot het recht op inzage nog steeds niet goed afgehandeld? En hoe kunnen organisaties ervoor zorgen dat dit in de toekomst beter gaat? In deze blog lees je meer over het recht van inzage en de bevindingen van de EDPB. Tot slot volgen enkele praktische tips die jouw organisatie kunnen helpen bij het omgaan met inzageverzoeken.