17 maart 2026 Tenant Wizards

5 signalen dat je Microsoft 365 account gehackt is

Ontdek de 5 belangrijkste signalen van een gecompromitteerd Microsoft 365 account. Leer hoe je risico's herkent voordat het te laat is en wat je eraan kunt doen.

microsoft 365securitymfamkbrisky user analyzer

Je IT-beheerder belt. Een collega ontvangt phishing-mails, verstuurd vanuit het account van je directeur. Het account blijkt gecompromitteerd, maar niemand weet sinds wanneer. De aanvaller had weken toegang tot e-mails, bestanden en contacten.

Dit scenario is geen uitzondering. Microsoft 365 is het primaire werkplatform van het Nederlandse MKB: e-mail, documenten, Teams, planning, alles draait erop. Maar de meeste organisaties hebben geen idee of hun accounts daadwerkelijk veilig zijn. Ze vertrouwen op MFA en hopen op het beste.

Dat is niet genoeg. In dit artikel leer je de vijf belangrijkste signalen herkennen die wijzen op een gecompromitteerd Microsoft 365 account, zodat je kunt ingrijpen voordat de schade is aangericht.

Overzicht van de 5 signalen van een gecompromitteerd account

1. Aanmeldingen vanaf onbekende of onmogelijke locaties

Microsoft Entra ID registreert bij elke aanmelding de locatie op basis van het IP-adres. Wanneer twee aanmeldingen binnen een kort tijdsbestek plaatsvinden vanaf locaties die geografisch niet te overbruggen zijn, is er vrijwel zeker sprake van ongeautoriseerde toegang. Dit heet impossible travel detection.

Impossible travel detectie: inlog vanuit Nederland en 10 minuten later vanuit Nigeria

Een gebruiker logt in vanuit Nederland en tien minuten later vanuit Nigeria. Dat is fysiek onmogelijk, en dus een sterke indicator dat iemand anders toegang heeft tot het account.

Wat maakt dit lastig?

  • VPN-gebruik kan valse positieven veroorzaken, maar een patroon van wisselende landen is altijd verdacht
  • Aanvallers gebruiken steeds vaker proxies in hetzelfde land om detectie te ontwijken
  • Veel MKB-organisaties bekijken deze logs simpelweg niet

Wat kun je doen? Controleer regelmatig de aanmeldlocaties van je gebruikers. Let specifiek op landen waar je geen medewerkers of kantoren hebt. Een geautomatiseerde scan kan dit in minuten voor je uitvoeren.

2. MFA wordt omzeild of staat uit

“We hebben MFA, dus we zijn veilig.” Dit is een van de gevaarlijkste aannames in IT-beveiliging. MFA is essentieel, maar niet onkwetsbaar. Aanvallers gebruiken steeds geavanceerdere technieken om MFA te omzeilen.

MFA bypass technieken: token theft en MFA fatigue

Er zijn meerdere manieren waarop MFA omzeild kan worden:

  • Token theft: een aanvaller steelt het sessietoken na de MFA-verificatie. De gebruiker heeft correct ingelogd, maar de aanvaller kaapt de sessie en hoeft zelf geen MFA door te lopen.
  • MFA fatigue attacks: de aanvaller triggert herhaaldelijk MFA-verzoeken totdat de gebruiker uit frustratie op “goedkeuren” drukt. Dit klinkt onwaarschijnlijk, maar het is de techniek waarmee Uber in 2022 gehackt werd.
  • Adversary-in-the-middle: phishing-sites die als doorgeefluik fungeren tussen de gebruiker en Microsoft, waarbij ze real-time het MFA-token onderscheppen.

En dan zijn er nog de accounts waar MFA simpelweg niet is ingeschakeld. Of waar het geconfigureerd is met alleen SMS, de zwakste MFA-methode.

Wat kun je doen? Controleer niet alleen of MFA aanstaat, maar ook hoe het is geconfigureerd. SMS-based MFA is beter dan niets, maar app-based verificatie of hardware keys zijn aanzienlijk veiliger. Monitor ook of er geblokkeerde MFA-pogingen zijn, want dat kan wijzen op een actieve aanval.

3. Aanmeldingen vanaf verdachte IP-adressen

Niet elk IP-adres is gelijk. Sommige IP-adressen zijn al bekend bij beveiligingsdatabases vanwege eerdere aanvallen, brute-force pogingen of omdat ze onderdeel zijn van een botnet. Wanneer een Microsoft 365 account aanmeldingen toont vanaf dit soort IP-adressen, is dat een serieus signaal.

IP reputatie analyse: bekende proxy en brute force IP gedetecteerd

Het betekent dat iemand met kwade bedoelingen, of een geautomatiseerd aanvalsscript, toegang probeert te krijgen tot het account. Of erger: al toegang hééft.

Waar moet je op letten?

  • IP-adressen afkomstig van bekende VPN-exitnodes die populair zijn bij aanvallers
  • IP-adressen die gerapporteerd zijn voor brute-force of credential stuffing
  • Aanmeldingen vanuit landen of regio’s waar je organisatie geen activiteiten heeft
  • Plotselinge wisselingen tussen IP-adressen uit verschillende landen binnen één sessie

Wat kun je doen? Laat de IP-adressen van aanmeldingen controleren tegen reputatiedatabases. Een IP-adres dat bij jou opduikt en al honderden keren is gerapporteerd voor aanvallen, is geen toeval.

4. Verdachte activiteiten in de audit logs

Microsoft 365 houdt een gedetailleerd logboek bij van alle beheeracties: wie heeft welke instellingen gewijzigd, welke rechten zijn toegekend, welke apps zijn geautoriseerd. Dit zijn de audit logs, en ze vertellen je precies wat er achter de schermen gebeurt.

Audit log met verdachte activiteiten: rolwijziging en onbekende OAuth app

Signalen die je niet mag missen:

  • Rechtenescalatie: een regulier gebruikersaccount krijgt plotseling Global Admin rechten. Dat is alsof een medewerker zichzelf de sleutel van de kluis geeft.
  • Wijzigingen in Conditional Access: de beleidsregels die bepalen wie, wanneer en waarvandaan mag inloggen worden aangepast. Een aanvaller met admin-toegang kan hiermee zijn eigen toegang legitimeren.
  • Onbekende app-registraties: een OAuth-app die niemand herkent krijgt toegang tot mailboxen of bestanden. Dit is een veelgebruikte persistence-techniek.

Wat kun je doen? Bekijk de audit logs minimaal maandelijks. Focus op admin-acties, rolwijzigingen en app-autorisaties. Als je niet weet wat er normaal is in je omgeving, kun je ook niet herkennen wat abnormaal is.

5. Legacy authenticatie staat nog aan

IMAP, POP3, SMTP Basic Auth: dit zijn authenticatieprotocollen uit een tijd dat MFA niet bestond. Ze zijn ontworpen om een gebruikersnaam en wachtwoord te accepteren, punt. Als deze protocollen nog actief zijn in je Microsoft 365 omgeving, kan een aanvaller met een gestolen wachtwoord direct inloggen, volledig zonder MFA.

Legacy authenticatie omzeilt MFA volledig

Het maakt niet uit hoe sterk je MFA-configuratie is. Legacy authenticatie omzeilt het simpelweg. Microsoft heeft legacy auth in oktober 2022 officieel uitgezet voor Exchange Online. Maar in de praktijk zien we dat het bij veel organisaties nog actief is, door uitzonderingen, compatibiliteitsinstellingen of simpelweg omdat niemand het heeft gecontroleerd.

Wat kun je doen? Controleer of er nog legacy authenticatie-protocollen actief zijn in je omgeving. Als dat zo is: schakel ze uit. Als je applicaties hebt die erop leunen, plan dan een migratie. Elke dag dat legacy auth aanstaat is een dag dat MFA effectief wordt omzeild.

Controleer je eigen omgeving

Wil je weten of jouw Microsoft 365 accounts veilig zijn? De Risky User Analyzer van Tenant Wizards controleert automatisch op alle vijf signalen uit dit artikel, en meer. Binnen vijf minuten heb je een rapport met een risicoscore en concrete aanbevelingen.

Scan nu een account

← Terug naar blog