Phishing is al jarenlang een van de grootste bedreigingen binnen cybersecurity. Maar net als de technologie zelf, worden ook de aanvallers steeds slimmer. Onlangs ontdekten beveiligingsonderzoekers een nieuwe, geavanceerde phishingtool genaamd Whisper 2FA, die niet alleen wachtwoorden buitmaakt, maar ook Multi-Factor Authentication (MFA) codes kan onderscheppen, terwijl je juist denkt extra beveiligd te zijn door MFA te gebruiken.
Wat is Whisper 2FA?
Whisper 2FA is een phishingkit die wordt aangeboden als Phishing-as-a-Service (PhaaS). Dat betekent dat cybercriminelen deze dienst eenvoudig kunnen huren of kopen om eigen phishingcampagnes op te zetten.
Wat Whisper 2FA bijzonder gevaarlijk maakt:
- Het programma bootst betrouwbare merken en diensten na (zoals Adobe, DocuSign of factuurverwerkers) om gebruikers te misleiden.
- Het vangt MFA-tokens in realtime op, precies op het moment dat de gebruiker de code invult.
- Het gebruikt slimme technieken om detectie te ontwijken, zoals meervoudige lagen codering, anti-debugging en het verwijderen van herkenbare tekstfragmenten.
Waarom is dit zorgelijk?
MFA werd jarenlang beschouwd als een van de meest effectieve beveiligingslagen tegen phishing, omdat het iets extra’s vraagt naast een gebruikersnaam en wachtwoord. Maar Whisper 2FA laat zien dat ook MFA kwetsbaar kan zijn, zeker wanneer een aanvaller de tweede factor kan onderscheppen via een nagemaakte inlogpagina.
Sinds juli 2025 is Whisper 2FA al in meer dan een miljoen aanvallen gebruikt. Dat laat zien dat het geen experiment is, maar een professioneel georganiseerde aanvalsmethode die wereldwijd wordt ingezet tegen Microsoft 365-gebruikers.
Wat kun je doen om jezelf en je organisatie te beschermen?
Hier zijn zes concrete stappen die helpen om de risico’s te beperken:
- Train medewerkers op phishingbewustzijn
Leer hoe valse e-mails eruitzien: denk aan urgent taalgebruik, foutieve domeinnamen of kleine afwijkingen in logo’s en afzenders. - Gebruik phishingbestendige MFA
Kies voor methoden die moeilijker te manipuleren zijn, zoals FIDO2-sleutels, hardwaretokens of pushmeldingen via een officiële app in plaats van sms-codes. - Let op onverwachte MFA-meldingen
Ontvang je een MFA-prompt zonder dat je zelf hebt ingelogd? Meld dit direct. Het kan een teken zijn dat iemand probeert mee te liften op jouw identiteit. - Monitor verdachte inlogpogingen
Houd inlogactiviteit in de gaten, bijvoorbeeld op vreemde tijden of vanaf onbekende locaties. Automatiseer meldingen waar mogelijk. - Beperk toegangsrechten
Pas het principe van least privilege toe: geef gebruikers alleen toegang tot wat ze echt nodig hebben. Zo wordt de schade beperkt als één account toch wordt misbruikt. - Werk samen en deel informatie
Deel phishingmeldingen intern en met partners. Door samen te leren van incidenten, kun je veel sneller reageren op nieuwe dreigingen.
Whisper 2FA is een duidelijk signaal dat de strijd tegen phishing verandert. Waar MFA vroeger voldoende leek, zijn criminelen inmiddels in staat om ook die extra beveiligingslaag te omzeilen.
De oplossing ligt in een combinatie van bewustwording, techniek en waakzaamheid. Door medewerkers te trainen, beveiligingstechnieken te verbeteren en voortdurend alert te blijven, kun je jouw organisatie beschermen tegen deze steeds slimmer wordende aanvallen.