Blog

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Jun 18, 2026 • 6 min read

Simon Wijckmans Founder & CEO

Account takeover voorkomen: het complete playbook voor 2026

Account takeover is in 2026 eerder een automatiseringsprobleem dan een wachtwoordprobleem. Aanvallers draaien nu AI-agents binnen echte browsers die challenges oplossen, stealth-browser fingerprints wisselen en hun tactiek aanpassen op basis van hoe je verdediging reageert. Eén enkele regel op het login-endpoint kan dat niet bijbenen. Dit playbook geeft je één operationeel model dat login, herstel, sessie en post-auth omspant, en wijst naar de diepere gidsen voor elk onderdeel.

Het bruikbare kader: stop met het verdedigen van de wachtwoordcontrole en begin de sessie te scoren. Het wachtwoord klopt vaak. Wat niet klopt is de browseromgeving, het netwerkpad, het herstelmoment of de post-auth actie die volgt. cside instrumenteert de browserlaag om device- en echte-IP-signalen vast te leggen, gedrag van AI-agents en stealth-browsers, VPN/proxy-patronen en elke manipulatie van je loginpagina door third-party scripts — het bewijs dat een serverlog alleen niet laat zien.

Het vierfasen ATO-operationele model

Behandel ATO als een levenscyclus, niet als een gebeurtenis. Elke fase krijgt een eigenaar, eigen risicosignalen, een responsactie en een bewaard bewijsspoor. Een zwak signaal in de ene fase moet de lat in de volgende hoger leggen, niet verdwijnen zodra de login slaagt.

Fase	Primair risico	Signalen om vast te leggen	Respons	Bewijs om te bewaren
Login	Credential stuffing, AI-agent bots	Snelheid van pogingen, device-fingerprint, `navigator.webdriver`, MFA-uitkomst	Throttelen, challengen, blokkeren	Logs van loginpogingen, fingerprint, MFA-uitkomst
Herstel	Misbruik van resets, social engineering bij support	Leeftijd reset-token, reset vanaf nieuw device, wijziging e-mail/telefoon	Step-up verificatie, afkoelperiode	Herstelmomenten, device-verschil, kanaalwijzigingen
Sessie	Token replay, adversary-in-the-middle	Continuïteit sessie-device, drift IP/ASN, fingerprint-drift	Opnieuw authenticeren, sessie intrekken	Oorsprong sessie, breuken in continuïteit
Post-auth	Wijziging uitbetaling/adres, ordersnelheid	Wijziging betaalmethode, aankoop cadeaubonnen, ordersalvo's	Actie vasthouden, handmatige review	Wijzigingsgeschiedenis, beslissing analist

Waarom het aanvallersprofiel verschoof

Het goedkope deel van ATO werd goedkoper en slimmer. Onderzoek van cside vond dat installaties van playwright-stealth — een van de vele stealth-browser kits die worden gebruikt om fingerprinting te verslaan — ongeveer 10x stegen in de loop van 2025 (cside research report). Dat soort tooling laat een agent zich voordoen als een normale Chrome-sessie terwijl die op grote schaal logins automatiseert.

Deze agents lijken niet op de curl-en-proxy bots van een paar jaar geleden. Ze sturen een echte rendering-engine aan, dus naïeve checks komen erdoor. De verraderlijke tekenen verschuiven naar de runtime: inconsistenties tussen de gedeclareerde en de waargenomen omgeving, automatiseringscontrole-oppervlakken zoals Chrome DevTools Protocol (CDP) Runtime-lekken, gedrag van residentiële proxy's en fingerprint-drift over sessies heen die stabiel zouden moeten zijn. OWASP kadert credential stuffing nog steeds als geautomatiseerde loginpogingen met bekende gebruikersnaam-wachtwoordparen en beveelt gelaagde controles aan — MFA, controles op gelekte wachtwoorden, throtteling en botdetectie (OWASP cheat sheet). De gelaagdheid houdt nog steeds stand; de botdetectielaag is wat opnieuw gebouwd moet worden voor agents.

Waar programma's lekken

Een loginverdediging kan vlekkeloos zijn terwijl het account toch wordt overgenomen. De lekken clusteren zich op drie plekken:

Herstelflows — wachtwoordreset en het verwijderen van een onthouden device zijn vaak zwakker dan login, en ze geven de aanvaller duurzame toegang.
Sessiecontinuïteit — een opnieuw afgespeelde cookie of een adversary-in-the-middle proxy geeft een geauthenticeerde sessie zonder wachtwoord en zonder verse MFA-stap.
Post-auth acties met hoge waarde — wijzigingen van uitbetalingen, aanpassingen aan opgeslagen kaarten en aankopen van cadeaubonnen zijn waar een stille overname in verlies omslaat.

Scoor deze als hun eigen oppervlakken. NIST SP 800-63B behandelt weerbaarheid tegen geautomatiseerde aanvallen als onderdeel van het ontwerp van authenticators en sessies, wat botmitigatie, phishingbestendige MFA en sessie-risicosignalen in dezelfde controlestack plaatst (NIST SP 800-63B).

Het 90-dagen uitrolplan

Je hoeft niet alle vier de fasen tegelijk uit te rollen. Bepaal de volgorde op basis van waar het verlies het eerst neerslaat.

Instrumenteer voordat je afdwingt. Rol signaalvastlegging op de browserlaag uit in observe-only modus over login, herstel en checkout zodat je een basislijn hebt van normale devices en netwerken per account.
Verstevig login. Vereis phishingbestendige MFA voor accounts met hoge waarde, blokkeer bekende gelekte wachtwoorden bij registratie en reset, en voeg detectie van AI-agents en stealth-browsers toe aan het login-endpoint.
Vergrendel herstel. Behandel resets als fraude-oppervlakken: step-up verificatie bij resets vanaf een nieuw device, afkoelperiodes na wijzigingen van e-mail of telefoon, en review door een analist bij herstel via support.
Draag risico mee de sessie in. Authenticeer opnieuw wanneer de continuïteit van het sessie-device breekt of er fingerprint-drift midden in de sessie verschijnt, en trek de sessie in plaats van te waarschuwen bij bevestigde replay.
Stel post-auth acties achter een poort. Houd wijzigingen van uitbetaling, adres en betaalmethode achter de sessie-risicoscore, en vereis een verse challenge voor de risicovolste daarvan.
Sluit de lus met support. Bekijk wekelijks samen met het supportteam de false positives, want hun wachtrij is waar te veel blokkeren zich het eerst laat zien.

Hoe het cluster in elkaar past

Deze post is de hub. Elke fase heeft een diepere gids, en de juiste zet is om die te lezen die past bij het lek dat je aan het dichten bent.

Als je het volgende nodig hebt…	Lees
Een ATO-programma op bedrijfsniveau vanaf nul opzetten	Hoe je accountovername-fraude voorkomt
Een overname betrappen vóór de checkout met behulp van sessiedrift	Detecteer accountovername voordat die gebeurt
De automatisering stoppen die stuffing-campagnes voedt	Credential stuffing: hoe je het detecteert en stopt

Waar cside in het model zit

cside is de signaalbron op de browserlaag waarop het model draait. Het legt device- en echte-IP-context vast, gedrag van AI-agents en stealth-browsers, VPN/proxy-patronen en runtime-manipulatie van scripts, en levert die signalen vervolgens via een API zodat je fraudelogica sessies kan scoren over alle vier de fasen heen. Omdat het de runtime in de gaten houdt, ziet het een gemanipuleerd third-party script dat inloggegevens van je loginpagina skimt — een aanval die een WAF en een serverlog volledig missen. Stuur één gedeelde sessie-risicoscore door login, herstel, sessie en post-auth in plaats van losse regels op elk onderdeel te schroeven.

Verder lezen over cside

Hoe je accountovername-fraude voorkomt
Detecteer accountovername voordat die gebeurt
Credential stuffing: hoe je het detecteert en stopt
cside AI Agent Detection

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Het aanvallersprofiel is verschoven van goedkope scriptautomatisering naar AI-agents die echte browsers aansturen. Deze agents lossen challenges op, wisselen tussen stealth-browser profielen en passen hun ontwijking aan op hoe je verdediging reageert, waardoor de oude aanname instort dat botverkeer er overduidelijk robotachtig uitziet. De controle die er nu toe doet is zicht op de browser-runtime over de hele levenscyclus van het account, niet één enkele regel op het login-endpoint.

Op drie plekken: accountherstel, sessiecontinuïteit en post-auth acties met hoge waarde. Een loginverdediging kan perfect zijn terwijl de aanvaller een wachtwoord reset, een gestolen sessiecookie opnieuw afspeelt of een uitbetalingsmethode wijzigt zonder zich ooit opnieuw te authenticeren. Behandel elk daarvan als een eigen bewaakt oppervlak met een eigen bewijsspoor, niet als een bijzaak verderop in de keten na het loginformulier.

Breng controles in kaart over vier fasen — login, herstel, sessie en post-auth — en wijs aan elke fase een eigenaar toe, een set risicosignalen, een responsactie en een bewaard bewijsspoor. Het doel is één gedeelde sessie-risicoscore die met de gebruiker meereist over de fasen heen, zodat een zwak signaal bij login de lat hoger kan leggen bij de checkout in plaats van vergeten te worden zodra de wachtwoordcontrole slaagt.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.

PCI DSS 6.4.3 scriptinventaris en autorisatie: zo bouw je het record

De scriptinventaris- en autorisatieworkflow voor PCI DSS 6.4.3: welke velden elk record nodig heeft, wie aftekent en een voorbeeldrij om te kopiëren.

Abstracte donkerblauwe visualisatie van netwerkverbindingen die door een ronde gateway stromen

TLS-timeouts beter afhandelen in de cside Edge

Hoe cside de TLS-betrouwbaarheid in de Rust-Edge verbeterde door handshake-werk uit het Axum-accept-pad te halen en in begrensde Tokio-taken te plaatsen.

Hoe Blokkeer Je ClaudeBot op Je Website

ClaudeBot crawlt je site om Anthropics Claude-modellen te trainen. Zo blokkeer je het met robots.txt en IP-ranges, en wat de blokkering nog steeds mist.

Hoe Voorkom Je het Aanmaken van Nepaccounts: Waarom Detectie op Browserniveau Vangt Wat E-mailverificatie Mist

E-mailverificatie bevestigt dat een mailbox bestaat. Het kan de browser niet zien. Daarom vangt detectie op browserniveau nepaccounts die het mist.

Polyfill.io supply chain-aanval: volledige tijdlijn, analyse en lessen (2024–2026)

Een volledige, onderbouwde tijdlijn van de Polyfill.io supply chain-aanval, van de domeinverkoop in 2024 tot de Funnull-sancties in 2025, en hoe je het vandaag verwijdert.