Odido-hack: zo voorkom je dat helpdesk-phishing je 2FA omzeilt

Herkenbaar? Een ‘provider’ belt met spoed

Na het datalek bij Odido/Ben doken meteen gerichte nepmails en telefoontjes op. Het patroon is steeds hetzelfde: een vriendelijke medewerker belt of appt, er is zogenaamd haast, en je moet “even” iets bevestigen of een code doorgeven. Veel organisaties hebben hun inlog met tweestapsverificatie (2FA/MFA) op orde, maar juist de helpdesk-procedures blijken de zwakke plek. Aanvallers omzeilen de techniek door het proces te bespelen.

Waarom helpdesk-phishing 2FA kan omzeilen

2FA beschermt je inlog door naast je wachtwoord ook een extra stap te vragen, zoals een code uit een app. Maar in de praktijk bestaan er herstel- en resetroutes voor als iemand zijn telefoon kwijt is, een nieuw toestel heeft of tijdelijk geen toegang heeft. Daar zitten beslissingen in die vaak door mensen worden genomen: een helpdesk, een collega met beheerrechten of een leverancier. Als aanvallers die beslissingen beïnvloeden (social engineering), kunnen ze een reset of uitzonderingspad afdwingen en alsnog binnenkomen.

De crux is dus niet alleen sterke inlog, maar ook een nuchter supportprotocol. Kleine organisaties kunnen met een paar duidelijke afspraken een groot deel van dit risico wegnemen.

Een simpel supportprotocol dat wél werkt

1. Altijd terugbellen via een bekend nummer

Komt een verzoek binnen om een wachtwoord te resetten, 2FA uit te zetten of een code te delen? Bel nooit via het nummer waarvandaan je benaderd bent. Gebruik altijd een nummer dat je zelf al kent (klantenkaart, contract, website die je zelf opzoekt). Zo doorbreek je de regie van de aanvaller en haal je de snelheid uit de aanval.

  • Bewaar per leverancier één gecontroleerd telefoonnummer in je adresboek.
  • Noteer intern wie bij jullie mag terugbellen (één of twee vaste namen).

2. Deel nooit codes via mail of chat

Een code (of magic link) hoort uitsluitend in het inlogscherm van de rechtmatige gebruiker. Niet in een chatvenster, niet in een mail, niet aan de telefoon. Een echte supportmedewerker heeft die code niet nodig. Vraagt iemand er tóch om, dan is dat een rode vlag. Zeg beleefd “wij delen geen codes” en schakel over op terugbellen via een bekend nummer.

3. Beperk resetrechten

Beperk wie binnen je bedrijf een wachtwoord of 2FA mag resetten. Voor gevoelige accounts (e-mail, administratie, webshop, domein/hosting) is een twee-ogenprincipe verstandig: pas resetten als twee personen akkoord geven. Zo voorkom je dat één telefoontje genoeg is om je beveiliging open te zetten.

4. Herstelcodes veilig opslaan

Veel diensten bieden herstelcodes voor noodgevallen. Leg ze vast op één veilige plek die je ook in een stressmoment kunt vinden. Denk aan een kluis of een goede wachtwoordkluis, met toegang voor één of twee verantwoordelijken. Label ze duidelijk: dienstnaam, datum en wie toegang heeft. Dit voorkomt paniek en noodoplossingen die je 2FA omzeilen.

Klein voorbeeld: stel dat een collega haar telefoon verliest. In plaats van 2FA uit te zetten op verzoek, pak je de herstelcodes uit de kluis en log je gecontroleerd in om het nieuwe toestel in te stellen. Snel én veilig.

5. MFA verplicht voor beheerders en hoofdaccounts

Zorg dat alle beheeraccounts (bijvoorbeeld je e-mailbeheer, websitebeheer, cloud-omgeving en betaalomgeving) altijd MFA aan hebben staan. Kies bij voorkeur een methode die niet afhankelijk is van sms. Het gaat niet om techniek-fetisj, maar om nuchtere risicoverkleining: als juist die sleutels vallen, ligt alles open.

6. Korte herkenningsinstructies voor het team

Maak het je team makkelijk met een mini-spiekbriefje bij de telefoon en in de inbox:

  • Geen codes of links delen. Nooit.
  • Altijd zelf terugbellen via het bekende nummer.
  • Bij twijfel: parkeren, overleggen, en pas daarna handelen.

Een korte, duidelijke regel wint het van een lange handleiding. Mensen onder tijdsdruk hebben duidelijke ankers nodig.

7. Logboekje en periodieke controle

Noteer elke beveiligingskritische wijziging kort: datum, wie vroeg het, wie voerde uit, en waarom. Kijk hier eens per maand even doorheen. Je signaleert zo vreemde patronen (bijvoorbeeld veel resets op vrijdagmiddag) en je kunt sneller herstellen als er iets misgaat.

8. Beperk wat leveranciers-helpdesks mogen

Spreek met jezelf en met leveranciers af dat gevoelige wijzigingen niet via chat of losse mail plaatsvinden. Gebruik waar mogelijk een ticket of belafspraak, plus verificatie met klantnummer en een vooraf afgesproken beveiligingsvraag. Hoe minder ad-hoc en vluchtig het kanaal, hoe kleiner de kans dat iemand je overvalt met haast en druk.

Mini-scenario: zo loopt het gesprek veilig

Stel: je wordt gebeld door “de provider” over een storing. Ze vragen om de code uit je 2FA-app om je profiel te “verifiëren”. Je antwoordt rustig: “Wij delen geen codes. Ik bel zo terug via het bekende nummer.” Je verbreekt het gesprek, pakt je bewaarde nummer, en belt terug. De echte helpdesk bevestigt dat er géén verificatie nodig is. Probleem voorkomen, in minder dan vijf minuten.

Checklist: in 30 minuten geregeld

  • Schrijf vijf huisregels op: terugbellen, geen codes delen, beperkte resetrechten, twee-ogenprincipe, logboekje.
  • Leg herstelcodes veilig vast en noteer wie erbij kan.
  • Zet MFA aan op alle beheerders- en hoofdaccounts.
  • Maak een lijstje met officiële telefoonnummers van leveranciers.
  • Plan ieder kwartaal een korte test: werkt het protocol nog?

Hoe Rendar dit aanpakt

Bij Rendar zien we dat veel organisaties baat hebben bij een klein, helder supportprotocol. Geen dikke mappen, wel afspraken die in de praktijk standhouden. We richten ons op risico’s vermijden die ook daadwerkelijk voor kunnen komen: een onhandig telefoontje, een gehaaste chat, of een onverwachte reset. Wil je dat we even meekijken naar je procedures rond inloggen, WordPress, hosting of Microsoft 365? Neem dan gerust contact op voor een korte, praktische check.

Kort samengevat

Aanvallers richten zich op het proces, niet alleen op de techniek. Eén gewoonte maakt vaak al het verschil: altijd zelf terugbellen via een bekend nummer. Combineer dat met “geen codes delen”, beperkte resetrechten, veilige herstelcodes en verplichte MFA voor beheerders. Een uur controle nu voorkomt dagen herstel later.