De verificatiestap is het nieuwe ATO-slagveld in 2026

Jarenlang volgde accountovername (ATO) een voorspelbaar script. Aanvallers kochten massaal gestolen inloggegevens, voerden deze door geautomatiseerde tools en wachtten op overeenkomsten. Het opvullen van inloggegevens was goedkoop, schaalbaar en voor verdedigers relatief goed begrepen.

Dat tijdperk loopt ten einde. Niet omdat aanvallers het opgaven, maar omdat de voordeur eindelijk moeilijker in te trappen was.

Wachtwoorden zijn nu mainstream. Volgens het onderzoek van de FIDO Alliance uit 2026 heeft 75% van de wereldwijde consumenten een toegangscode voor ten minste één account ingeschakeld. Tegelijkertijd worden wachtwoordsleutels steeds gebruikelijker op de werkplek: 68% van de bedrijven gebruikt, test of introduceert deze nu voor aanmeldingen van werknemers.

Phishing-bestendige, wachtwoordloze authenticatie is niet langer ambitieus, het wordt de standaard. Wanneer het wachtwoord verdwijnt, neemt ook de waarde van een gestolen wachtwoord toe.

Dus waar gaat de aanval vervolgens heen? Het gaat stroomafwaarts, naar de momenten waarop systemen nog steeds vertrouwen op een mens om te bewijzen wie hij is.

Het aanvalsoppervlak verschoof, maar kromp niet

Wanneer de primaire inlogstromen sterker worden, verdwijnt de fraude niet. Het verplaatst zich naar de zwakste overgebleven schakel, en in de meeste architecturen is die schakel de identiteitsverificatie- en herstellaag.

Denk aan elke stroom die zit rondom authenticatie: accountherstel, herinschrijving van apparaat, intensieve verificatie voor een transactie van hoge waarde, de magische link die wordt verzonden om te ‘bevestigen dat jij het bent’. Dit zijn steeds vaker de wegen van de minste weerstand.

Magic-link-onderschepping is een duidelijk voorbeeld. Het gemak van het e-mailen van een eenmalige inloglink heeft een keerzijde: als een aanvaller die link kan onderscheppen via een niet-geverifieerde mobiele deep link, een gecompromitteerde inbox of een omleiding met SIM-swap. Ze kunnen de beoogde authenticatiestroom volledig omzeilen.

De gegevens wijzen in dezelfde richting. Uit de Fraud Industry Pulse Survey 2026 van Veriff, gebaseerd op antwoorden van ongeveer 1.200 besluitvormers op het gebied van fraude en compliance, blijkt dat organisaties te maken hebben met een brede toename van online fraude, waarbij nabootsing van identiteit, malware, geautoriseerde fraude en documentfraude tot de meest gemelde categorieën behoren.

AI maakte nabootsing van identiteit goedkoop en overtuigend

De tweede kracht die ATO hervormt is generatieve AI, die van identiteitsverificatie zelf een doelwit heeft gemaakt.

Uit het Identity Fraud Report 2026 van Veriff bleek dat 4,18% van de verificatiepogingen frauduleus was, en dat digitaal gepresenteerde media 300% waarschijnlijker waren door AI gegenereerd of gewijzigd dan in voorgaande perioden. Nabootsing van identiteit is nu verantwoordelijk voor meer dan 85% van alle fraudeaanvallen die het bedrijf heeft waargenomen. Deepfaked selfies, geïnjecteerde videostreams en synthetische documenten zijn niet langer marginale technieken. Ze zijn de hoofdstroom van identiteitsfraude.

De conclusie voor verdedigers is ongemakkelijk maar duidelijk: als je verificatiestap ervan uitgaat dat de media die voor je staan ​​oprecht zijn, verdedig je je tegen het dreigingsmodel van vorig jaar.

Waar ATO-verdediging naartoe gaat

De verdediging tegen accountovername gaat een nieuwe fase in. In de komende twaalf tot achttien maanden zullen drie verschuivingen waarschijnlijk bepalen hoe organisaties hun controles versterken.

Intentiebinding zal belangrijker worden.

Bewijzen wie iemand is, is niet langer voldoende. Organisaties hebben ook meer zekerheid nodig over wat die persoon autoriseert. Dat stimuleert de belangstelling voor intentiebinding: het cryptografisch koppelen van een geverifieerde menselijke actie aan de specifieke transactie of instructie die wordt goedgekeurd. Naarmate AI-gestuurde injectie-aanvallen geavanceerder worden, komt deze aanpak dichter bij een praktische vereiste voor transacties met een hoge waarde en een hoog risico.

Gegevens over netwerkeffecten zullen een defensief voordeel definiëren.

Eénpuntscontroles worden steeds gemakkelijker te omzeilen. Een duurzamer voordeel komt voort uit het identificeren van fraudepatronen over miljoenen sessies, apparaten en netwerken, en het vervolgens detecteren van gecoördineerde aanvallen voordat ze zich verspreiden. De verdediging wordt sterker naarmate de schaal groter wordt, vooral wanneer signalen over de hele persoon, het document, het apparaat en het netwerk kunnen worden geanalyseerd in plaats van afzonderlijk.

De regeldruk zal de basislijn blijven verhogen.

Compliance en security raken steeds meer met elkaar verweven. Kaders zoals eIDAS 2.0, de antiwitwasverordening en DORA duwen organisaties in de richting van sterkere en meer gestandaardiseerde identiteitsborging. Tegelijkertijd versnelt de uitfasering van SMS-OTP de verschuiving van onderschepbare authenticatiefactoren. Voor veel organisaties betekent dit dat de minimaal aanvaardbare standaard snel boven hun huidige controles uitstijgt.

Wat nu te doen

Het praktische pad voorwaarts is niet speculatief. Het berust op controles die de ATO al aantoonbaar verminderen: er is bijvoorbeeld aangetoond dat biometrische liveness-detectie de ATO met 80-90% vermindert als deze op de juiste manier wordt geïmplementeerd.

Drie prioriteiten:

  • Maak wachtwoordloze authenticatie en biometrische levendigheid basisvereistengeen premium add-ons. Phishing-bestendige inloggegevens en levendigheid verhogen de kosten van nabootsing van identiteit dramatisch.
  • Beschouw herverificatie, magische linkstromen en intensivering van de authenticatie als gebeurtenissen met een hoge inzet. Ze verdienen hetzelfde onderzoek als de initiële onboarding, omdat aanvallers zich nu als eerste op hen richten. Pas risicogebaseerde herverificatie toe in plaats van een enkele statische controle.
  • Plan voor intentiebinding en AI-bestendige verificatie. Ga ervan uit dat de media die uw systemen bereiken synthetisch kunnen zijn, en ontwerp controles die geverifieerde identiteit aan geverifieerde intentie binden.

De strategische verschuiving is eenvoudig te omschrijven en moeilijk te negeren. Fraude volgt de weg van de minste weerstand, en zodra dat authenticatie is, wordt het verificatie. De teams die in 2026 winnen, zijn degenen die de volgende schakel in de keten al verdedigen, en niet de teams die de aanvallers al in de steek hebben gelaten.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Anton Volkov, Senior Product Manager bij Veriff.

Thijs Van der Does