Een account takeover is het scenario dat elke beheerder vreest: iemand anders logt in op een Workspace-account en kan mail lezen, bestanden stelen of zich voordoen als de gebruiker. De meeste overnames beginnen simpel, met phishing of een wachtwoord dat ergens anders gelekt is. Het goede nieuws: met een paar gerichte maatregelen maak je een succesvolle overname veel onwaarschijnlijker.
Begin bij 2-staps-verificatie
Een wachtwoord alleen is niet genoeg. 2-staps-verificatie (2SV) is de belangrijkste enkele maatregel tegen account takeovers. Zet het verplicht via de Admin Console en geef gebruikers een redelijke inschrijfperiode.
Niet alle tweede factoren zijn even sterk. SMS-codes zijn beter dan niets, maar gevoelig voor SIM-swapping en phishing. De Google-prompt op de telefoon is sterker. Het sterkst zijn hardware security keys en passkeys (FIDO2), die phishing-bestendig zijn omdat ze aan het domein gebonden zijn. In de Admin Console vallen security keys en passkeys onder dezelfde 2SV-optie en bieden ze hetzelfde niveau van phishing-bescherming.
2SV is verplicht voor admin-accounts
Google verplicht 2-staps-verificatie voor alle beheerdersaccounts, met een gefaseerde uitrol. Super-admins krijgen ongeveer 90 dagen van tevoren bericht, andere admins ongeveer 60 dagen. Wacht hier niet op: zet 2SV nu al aan voor elk admin-account, anders riskeer je dat een super-admin straks buitengesloten raakt.
Begin bij je hoogrisico-gebruikers
Rol voor je hoogrisico-gebruikers (directie, finance, IT-admins) security keys of passkeys uit en zet die in een aparte organisatie-eenheid met de strengste regels. Zo bescherm je de accounts die de meeste schade kunnen veroorzaken.
Wachtwoorden en lekken
Schakel sterke wachtwoordvereisten in en blokkeer hergebruik. Belangrijker nog: zet password-monitoring aan, zodat je gewaarschuwd wordt als wachtwoorden van je gebruikers in bekende datalekken opduiken.
Hergebruikte wachtwoorden zijn de grootste zwakte
Hergebruikte wachtwoorden zijn de nummer-een oorzaak van overnames. Een wachtwoord dat een gebruiker ook op een gehackte webshop gebruikte, staat binnen een dag op een lijst die aanvallers afgaan. 2SV vangt dit op, maar reken er niet alleen op.
Login-challenges en monitoring
Google voegt automatisch login-challenges toe bij ongebruikelijke aanmeldingen, bijvoorbeeld vanaf een nieuw land of apparaat. Laat deze aanstaan. Vaak krijgt de gebruiker eerst zo'n challenge te zien, en pas als die wordt gefaald of afgebroken, krijg jij een melding van een verdachte aanmelding.
Combineer dat met het Alert Center, waar je via de regelpagina meldingen instelt voor onder meer verdachte aanmeldingen, gelekte wachtwoorden en gecompromitteerde apparaten. Koppel daar e-mailnotificaties aan en houd daarnaast de login-audit-logs in de gaten voor ongebruikelijke locaties of tijdstippen.
Basisbescherming tegen takeovers instellen
- Ga naar Security > Authentication > 2-step verification en zet 2SV op verplicht voor alle gebruikers.
- Maak een aparte organisatie-eenheid voor hoogrisico-gebruikers en eis daar security keys of passkeys.
- Activeer onder Password management sterke wachtwoorden en blokkeer hergebruik.
- Schakel in het Alert Center de regels in voor verdachte aanmeldingen en gelekte wachtwoorden, en zet e-mailnotificaties aan.
- Stel een vaste procedure op voor een gemelde verdachte login: account schorsen, sessies intrekken, wachtwoord resetten.
Reageren op een vermoedelijke overname
Snelheid telt. Als je een takeover vermoedt, schors dan direct het account, log alle actieve sessies uit en reset het wachtwoord. Controleer daarna of de aanvaller mailfilters, doorstuurregels of OAuth-apps heeft toegevoegd, want dat zijn de manieren waarop ze toegang behouden.
Vergeet de doorstuurregels niet
Aanvallers stellen vaak stiekem een doorstuurregel of filter in om mail door te sturen of te verbergen. Controleer na elk incident de Gmail-instellingen van het account, anders heeft de aanvaller nog steeds zicht op nieuwe mail. Trek ook verleende OAuth-toegang in die je niet vertrouwt.
Gebruikers meenemen
Techniek alleen is niet genoeg. Train gebruikers om phishing te herkennen en verdachte mails te melden. Een gebruiker die een nep-loginpagina herkent, voorkomt het probleem bij de bron. Maak het ook makkelijk om een vermoeden te melden, zodat je vroeg signalen binnenkrijgt in plaats van pas na de schade.
Wat is het verschil tussen account takeover en phishing?
Phishing is de methode, namelijk een gebruiker misleiden om inloggegevens af te staan. Account takeover is het resultaat: de aanvaller heeft daadwerkelijk toegang. Phishing is de meest voorkomende route naar een takeover.
Beschermt 2SV volledig tegen overnames?
2SV verkleint het risico enorm, maar phishing-kits kunnen sommige zwakkere factoren zoals SMS-codes onderscheppen. Phishing-bestendige security keys of passkeys bieden de sterkste bescherming.
Hoe weet ik of een account is overgenomen?
Let op meldingen in het Alert Center, ongebruikelijke aanmeldlocaties in de login-logs en signalen van gebruikers, zoals verstuurde mail die ze niet kennen of ontbrekende berichten. Onverwachte doorstuurregels zijn een sterk signaal.
Moet ik na een incident alle sessies uitloggen?
Ja. Reset het wachtwoord en trek alle actieve sessies in, anders blijft de aanvaller ingelogd ondanks het nieuwe wachtwoord.
Wat is het verschil tussen een security key en een passkey?
Beide zijn phishing-bestendig en aan het domein gebonden. Een security key is een los hardware-apparaat dat je inplugt of aanraakt, een passkey leeft op een apparaat dat de gebruiker al heeft, zoals een telefoon of laptop met schermvergrendeling. In de Admin Console vallen ze onder dezelfde sterke 2SV-optie.
Moet ik 2SV ook verplichten voor mijn eigen admin-account?
Ja, en wacht niet op de verplichte uitrol van Google. Beheerdersaccounts zijn het meest waardevolle doelwit. Zorg wel dat je backup-codes of een tweede security key hebt, zodat je jezelf niet buitensluit.