Blog Attacks

Hoe Voorkom Je het Aanmaken van Nepaccounts: Waarom Detectie op Browserniveau Vangt Wat E-mailverificatie Mist

E-mailverificatie bevestigt dat een mailbox bestaat. Het kan de browser niet zien. Daarom vangt detectie op browserniveau nepaccounts die het mist.

Jun 15, 2026 • 11 min read

Mike Kutlu Client-Side Security Consultant

Hoe Voorkom Je het Aanmaken van Nepaccounts: Waarom Detectie op Browserniveau Vangt Wat E-mailverificatie Mist

Het aanmaken van nepaccounts is geen randverschijnsel meer. Volgens het 2026 Identity Fraud Study van Javelin Strategy and Research steeg fraude met nieuwe accounts met 31% in 2025, met 5,4 miljoen slachtoffers tot gevolg. De aanvalsmethoden achter dat cijfer zijn geïndustrialiseerd: wegwerp-e-mailadressen, tijdelijke telefoonnummers, anti-detect browsers en headless automatiseringsframeworks kunnen door één enkele operator binnen enkele uren op schaal worden gecombineerd en ingezet.

De meeste platforms reageren hierop door hun registratieflow te verstevigen met e-mailverificatie, sms-OTP en blokkeerlijsten voor wegwerpdomeinen. Deze controles zijn noodzakelijk. Ze zijn niet voldoende. Het aanvalsoppervlak dat de meeste teams niet in de gaten houden, is de browser zelf, op het exacte moment van de registratie-interactie.

Dit bericht legt uit hoe de aanvalsstack er in 2026 uitziet, waar e-mailverificatie een structurele blinde vlek heeft, en wat detectie op browserniveau ziet dat downstream-verificatiestappen nooit zullen vangen.

Hoe het Aanmaken van Nepaccounts Eruitziet in 2026

Snel antwoord: Het moderne aanmaken van nepaccounts combineert wegwerpidentiteiten, automatiseringstooling en device-spoofing om op schaal legitieme gebruikers na te bootsen. Elke laag van de aanval is ontworpen om een specifieke verificatiecontrole te verslaan. Effectieve preventie vereist detectie op meerdere lagen, waaronder de browser zelf.

De aanval is niet één techniek. Het is een stack.

Wegwerp-e-mail- en telefooninfrastructuur. Operators gebruiken API's die programmatisch wegwerp-inboxen en tijdelijke telefoonnummers aanmaken, verificatiecodes ophalen en de mailbox na gebruik verwijderen. Blokkeerlijsten van bekende wegwerpdomeinen helpen, maar lopen achter op nieuwe infrastructuur zodra die wordt opgezet.
Synthetische en door AI gegenereerde identiteiten. Steeds vaker gebruiken nepaccounts geen overduidelijk valse e-mailadressen. Ze gebruiken aannemelijk ogende inloggegevens, samengesteld uit echte naampatronen, gegenereerde adressen op legitiem ogende domeinen, of inloggegevens afgeleid van datalekken. E-mailverificatie bevestigt dat de mailbox bestaat en berichten kan ontvangen. Het bevestigt niet dat de registrant een mens is.
Anti-detect browsers. Dit zijn commerciële tools waarmee een operator voor elke poging tot het aanmaken van een account een unieke, schone device-fingerprint kan presenteren. Ze vervalsen canvas-rendering, audioverwerking, WebGL-output, schermgeometrie, lettertypen en tijdzone. Een standaard fingerprinting-controle die afhankelijk is van een device-ID ziet voor elke registratie een ander, schoon apparaat.
Headless automatisering en gedragsinjectie. Automatiseringsframeworks simuleren de muisbewegingen, toetsaanslagtiming en formulierinteractiepatronen die bij menselijke gebruikers horen. Gedragssignalen die op formulierniveau worden gecontroleerd, kunnen worden vervalst wanneer de aanvaller de uitvoeringsomgeving beheert.
Residential proxies. IP-reputatiecontroles worden verslagen door verkeer op schaal via legitieme residentiële verbindingen te leiden.

Elk van deze tools richt zich op een specifieke detectielaag. Het resultaat is dat een platform dat op één laag vertrouwt, of zelfs op twee lagen, schone registraties ziet van wat lijkt op een diverse groep nieuwe gebruikers verspreid over verschillende apparaten, locaties en e-mailproviders.

In de registratiesessies die cside monitort over fintech-, SaaS- en gamingplatforms heen, combineren de agressiefste operators drie of meer van deze technieken in één campagne. Het automatiseringsframework regelt het volume; de anti-detect browser levert de apparaatdiversiteit; de residential proxy handelt de IP-reputatiecontrole af. Elke component is specifiek gekozen om de detectielaag te verslaan waarop hij is gericht.

Waarom E-mailverificatie Niet Genoeg Is

Snel antwoord: E-mailverificatie bevestigt dat een registrant een bericht kan ontvangen. Het bevestigt niet wie zich registreert, welk apparaat hij gebruikt, of de interactie geautomatiseerd is. Wegwerp-telefooninfrastructuur omzeilt sms-OTP. Synthetische identiteiten omzeilen domeinblokkeerlijsten. Geen van beide controles ziet de browser.

E-mail- en telefoonverificatie zijn downstream-controles. Ze draaien nadat de registratie-interactie is voltooid. Tegen de tijd dat een verificatiecode in een wegwerp-inbox belandt, is het automatiseringsframework van de aanvaller al verder gegaan met het ontvangen en indienen ervan.

Domeinblokkeerlijsten dekken bekende wegwerpproviders. Ze dekken niet de honderden nieuwe wegwerpdomeinen die operators wekelijks opzetten, en evenmin registraties die legitiem ogende e-mailadressen gebruiken die uit echte gegevens zijn samengesteld.

Sms-OTP is bestendiger, maar niet immuun. Diensten voor wegwerp-telefoonnummers verstrekken tijdelijke nummers die sms-codes ontvangen en doorsturen via API. Het 2026 Data Breach Investigations Report van Verizon constateerde dat credential-gebaseerde aanvallen aanwezig waren in 39% van alle datalekken over de volledige aanvalsketen, een cijfer dat weergeeft hoe grondig aanvallers hebben geleerd om door de verificatielagen te navigeren die zijn ontworpen om hen tegen te houden.

Het structurele probleem is niet dat e-mail- en telefoonverificatie slecht zijn geïmplementeerd. Het is dat ze het eindpunt verifiëren, niet de registrant. Een geldige inbox-ontvangst en een geldige OTP-indiening zijn verenigbaar met een volledig geautomatiseerde, volledig nep aanmaakpijplijn voor accounts. Voor een nadere blik op hoe volledig geautomatiseerde registraties worden opgebouwd, zie hoe AI-agenten nepaccounts aanmaken en wat ze tegenhoudt.

Wat Detectie op Browserniveau Ziet bij Registratie

Snel antwoord: Detectie op browserniveau vuurt tijdens de registratie-interactie zelf, vóór elke verificatiestap. Het leest signalen die anti-detect browsers, automatiseringsframeworks en device-emulators achterlaten in de browseruitvoeringsomgeving, ongeacht welk e-mailadres of telefoonnummer de registrant opgeeft.

De browser is waar de aanval plaatsvindt. Anti-detect browsers, headless frameworks en automatiseringstools draaien allemaal binnen de browser-runtime. Die uitvoering laat sporen achter die niet zichtbaar zijn voor e-mailverificatie of IP-reputatiecontroles, maar wel zichtbaar zijn voor een detectielaag die de browseruitvoeringsomgeving rechtstreeks monitort.

De signalen die op browserniveau beschikbaar zijn tijdens een registratie-interactie omvatten:

Signalen van anti-detect browsers. Anti-detect tools vervalsen afzonderlijke fingerprinting-API's, maar ze opereren als third-party scripts of aangepaste browserbuilds die binnen de sessie draaien. Een detectielaag met zicht op de volledige browseruitvoeringsomgeving kan de aanwezigheid en het gedrag van deze tools observeren, niet alleen de vervalste output die ze produceren.
Indicatoren van automatiseringsframeworks. Headless browsers en scriptgestuurde interactieframeworks laten kenmerkende markeringen achter in de browseromgeving: timingpatronen, eigenschapstoestanden en uitvoeringsartefacten die afwijken van echte, door mensen aangestuurde sessies, zelfs wanneer muisbewegingsinjectie actief is.
Anomalieën in apparaatconsistentie. Echte apparaten produceren consistente output over meerdere fingerprinting-dimensies heen. Vervalste omgevingen, die een aannemelijk ogende fingerprint samenstellen uit geïnjecteerde waarden, produceren vaak inconsistenties tussen canvas-rendering, audioverwerking en lettertypemeting die een simpele device-ID-controle mist, maar een diepere signaalanalyse vangt.
Zichtbaarheid van third-party scripts. Monitoring op browserniveau die op de uitvoeringslaag draait, kan observeren welke andere scripts actief zijn in de sessie, waaronder de tooling die een aanvaller naast het automatiseringsframework heeft ingezet.
Sessiegedrag op interactiemoment. De timing, volgorde en aard van interacties met een registratieformulier dragen signaal. Niet alleen of de muis bewoog, maar de relatie tussen velden, de aanwezigheid van plak-events en de verdeling van toetsaanslagintervallen.

Deze signalen vuren tijdens de registratie-interactie, voordat de registrant een e-mailadres indient en voordat enige verificatiestap wordt geactiveerd. Ze zijn niet afhankelijk van welke identiteitsgegevens de aanvaller gebruikt.

Het cruciale onderscheid is dat tussen het monitoren van de uitvoeringslaag en het inspecteren van de outputlaag. E-mailverificatie inspecteert wat de aanvaller produceert (een e-mailadres). Detectie op browserniveau monitort de omgeving waarin de aanvaller opereert. Een aanvaller kan vrij van e-mailadres wisselen. Hij kan de anti-detect browser of het automatiseringsframework waarin hij draait niet inwisselen.

De monitoring op browserniveau van cside draait op de uitvoeringslaag, wat het zicht geeft op wat er werkelijk binnen de sessie gebeurt op het moment van registratie, niet alleen de device-fingerprint die de registrant presenteert. Zie hoe cside accountmisbruik op browserniveau detecteert.

Hoe de Detectielagen Samenwerken

Snel antwoord: Geen enkele detectielaag vangt alles. E-mailverificatie filtert bekende wegwerpinfrastructuur. Detectie op browserniveau vangt automatisering, spoofing en apparaatanomalieën op het moment van registratie, voordat verificatie wordt bereikt. De twee lagen dekken verschillende delen van het aanvalsoppervlak en vangen verschillende aanvallerspopulaties.

E-mail- en telefoonverificatie worden niet overbodig gemaakt door detectie op browserniveau. Ze vangen aanvallerspopulaties die zich niet bezighouden met geavanceerde tooling. Een eenvoudige bot die een lijst met wegwerpdomeinen gebruikt, wordt gestopt door een domeinblokkeerlijst. Een meer geavanceerde operator die een nieuw wegwerpdomein gebruikt, niet.

Detectie op browserniveau vangt de geavanceerde operator, ongeacht of hij een wegwerp-e-mailadres of een aannemelijk synthetisch adres gebruikt. De aanvaller kan de afwezigheid van een anti-detect browser niet vervalsen. Hij kan de uitvoeringsartefacten van zijn automatiseringsframework niet verwijderen. Hij kan geen consistente, echte device-fingerprint produceren uit een samengestelde vervalste omgeving.

Volgens het 2026 Global eCommerce Payments and Fraud Report van de MRC rapporteerde 64% van de handelaren in 2026 een merkbare toename in first-party-misbruik, waarbij 25% een toename van 25% of meer rapporteerde. De operators achter die cijfers gebruiken geen eenvoudige tooling. Ze gebruiken het soort geavanceerde, gelaagde aanvalsinfrastructuur dat downstream-verificatiecontroles op zichzelf niet zijn ontworpen om te vangen.

Het praktische model is defence in depth:

Netwerklaag: IP-reputatie en proxydetectie
Identiteitslaag: e-maildomein- en telefoonverificatie
Browserlaag: apparaatsignalen, anti-detect-detectie, automatiseringsdetectie en sessiegedrag op het moment van registratie
Laag na registratie: gedrags- en transactiemonitoring na het aanmaken van het account

Elke laag verkleint de populatie frauduleuze registraties die de volgende laag bereikt. Detectie op browserniveau verkleint de populatie die de identiteitsverificatielaag en de monitoringlaag na registratie bereikt, wat betekent: minder geverifieerde nepaccounts en minder middelen besteed aan het downstream onderzoeken ervan.

Aanvalstype	E-mailverificatie vangt het	Detectie op browserniveau vangt het
Eenvoudige bot met bekend wegwerpdomein	Ja — blokkeerlijst-match	Ja — automatiseringsartefacten aanwezig
Nieuw wegwerpdomein (nog niet op blokkeerlijst)	Nee	Ja — anti-detect- en automatiseringssignalen nog steeds aanwezig
Synthetische identiteit met aannemelijk ogend e-mailadres	Nee	Ja — anomalieën in apparaatconsistentie, automatiseringsmarkeringen
Anti-detect browser met schone device-fingerprint	Nee	Ja — uitvoeringscontext van de anti-detect tool is observeerbaar
Headless automatisering met muisbewegingsinjectie	Nee	Ja — timing- en artefactpatronen onderscheiden geïnjecteerd van echt
Mens die handmatig nepaccounts op schaal aanmaakt	Ja (bij gebruik van wegwerp-e-mail)	Gedeeltelijk — apparaatclustering over sessies identificeert gecoördineerde campagnes

Het Aanmaken van Nepaccounts in Verschillende Sectoren

Snel antwoord: De motivatie voor de aanval varieert per sector, maar de tooling niet. Fintech-registraties worden gericht op fraude bij het openen van accounts en het uitbuiten van synthetische identiteiten. SaaS-platforms hebben te maken met trialmisbruik en seat stuffing. Gamingplatforms hebben te maken met bonusmisbruik en multi-accounting vanaf de allereerste registratie.

Fintech

Fraude bij het openen van accounts in fintech combineert synthetische identiteitsgegevens met spoofing op browserniveau om KYC-achtige controles bij registratie te passeren. Het doel is niet altijd onmiddellijk misbruik. Sommige nepaccounts worden van tevoren aangemaakt en sluimerend gehouden totdat een campagne om ze uit te buiten klaar is. Detectie op browserniveau bij registratie creëert een vastlegging van de sessiesignalen die kan worden gebruikt om deze accounts te markeren voordat ze worden geactiveerd, niet alleen op het moment van fraude.

SaaS

Misbruik van het gratis tier en de proefperiode hangt af van de mogelijkheid om tegen lage kosten meerdere accounts aan te maken. Een team van één kan honderden proefaccounts beheren als de e-mail- en telefoonverificatiestappen de enige barrières zijn. Detectie op browserniveau bij registratie identificeert sessies die infrastructuur op apparaatniveau delen over wat lijkt op onafhankelijke aanmeldingen, waardoor platforms gecoördineerd trialmisbruik kunnen identificeren voordat het de verificatieflow voltooit.

Gaming

Bonusmisbruik, multi-accounting en smurfing in gaming en iGaming beginnen allemaal bij het aanmaken van een account. Elk nepaccount moet eruitzien als een nieuwe, onafhankelijke gebruiker. Anti-detect browsers zijn standaardtooling voor deze use case. Detectie op browserniveau die de anti-detect tooling rechtstreeks ziet, in plaats van die af te leiden uit de vervalste apparaatoutput, vangt deze registraties op het moment dat ze worden aangemaakt, niet nadat ze een welkomstbonus hebben geïnd of een verdachte match hebben gespeeld.

Hoe Begin Je met Detectie op Browserniveau

De controles die de meeste platforms al hebben (e-mailverificatie, sms-OTP, IP-reputatie) dekken het eenvoudigere uiteinde van het spectrum van het aanmaken van nepaccounts. De aanvallen die in 2026 de meeste schade veroorzaken, zijn die welke ze allemaal omzeilen, omdat ze nooit een detecteerbaar wegwerpadres produceren, ze via schone residentiële IP's routeren, en ze automatiseringstooling gebruiken die zich op formulierniveau als een mens gedraagt.

Detectie op browserniveau dicht die kloof door upstream van elke downstream-controle te draaien. Het vervangt geen e-mailverificatie of IP-reputatie. Het vangt wat die lagen niet zijn ontworpen om te zien.

cside monitort de browseruitvoeringslaag op het moment van de registratie-interactie, wat fraude- en trustteams een signaal geeft voordat de verificatieflow zelfs maar begint. Om te zien hoe de detectie in de praktijk werkt, bezoek de fingerprinting-oplossing van cside op browserniveau.

Voor gerelateerde lectuur over hoe je geautomatiseerde aanmeldingen uit je registratieflow houdt, zie onze gids voor het blokkeren van het door AI aangestuurde aanmaken van nepaccounts.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Accountovername compromitteert een bestaand legitiem account, meestal via credential stuffing, phishing of session hijacking. Het aanmaken van nepaccounts creëert vanaf nul een nieuw frauduleus account. De aanvalstools overlappen, met name in het gebruik van automatisering en anti-detect browsers, maar de detectieaanpak verschilt omdat het aanmaken van nepaccounts detecteerbaar is op het moment van registratie.

Detectie draait op de achtergrond tijdens de registratieflow zonder uitdagingen of extra stappen aan legitieme gebruikers voor te leggen. Signalen worden in stilte beoordeeld. Wrijving, indien aanwezig, wordt alleen toegepast wanneer signalen een drempel overschrijden die wijst op een hoge waarschijnlijkheid van een geautomatiseerde of vervalste registratie.

Anti-detect browsers vervalsen de output van afzonderlijke fingerprinting-API's, maar kunnen de uitvoeringscontext waarin ze opereren niet verwijderen. Een detectielaag met zicht op de browseruitvoeringsomgeving, in plaats van alleen de fingerprinting-output, observeert naast de signalen die het produceert ook de tooling zelf. Geen enkele anti-detect browser kan zichzelf onzichtbaar maken voor een laag die zijn aanwezigheid in de sessie monitort.

Geen enkel signaal is op zichzelf betrouwbaar. De duurzaamste signalen zijn die welke moeilijk consistent te vervalsen zijn over meerdere dimensies tegelijk: cross-API-apparaatconsistentie, de afwezigheid van automatiseringsartefacten in de uitvoeringsomgeving, en de relatie tussen interactietiming en echte menselijke gedragspatronen. Signalen over dimensies heen combineren is moeilijker te verslaan dan het controleren van een afzonderlijk signaal.

Detectie op browserniveau produceert een risicosignaal op sessieniveau op het moment van registratie dat in bestaande fraudebeslissingssystemen kan worden ingevoerd. Het vervangt geen identiteitsverificatie, IP-reputatiecontroles of monitoring na registratie. Het voegt een detectielaag toe die eerder in de flow vuurt, waardoor het aantal frauduleuze accounts dat downstream-controles bereikt en passeert wordt verminderd.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Hoe Voorkom Je het Aanmaken van Nepaccounts: Waarom Detectie op Browserniveau Vangt Wat E-mailverificatie Mist

E-mailverificatie bevestigt dat een mailbox bestaat. Het kan de browser niet zien. Daarom vangt detectie op browserniveau nepaccounts die het mist.

Polyfill.io supply chain-aanval: volledige tijdlijn, analyse en lessen (2024–2026)

Een volledige, onderbouwde tijdlijn van de Polyfill.io supply chain-aanval, van de domeinverkoop in 2024 tot de Funnull-sancties in 2025, en hoe je het vandaag verwijdert.

Donkere cside blogcover met blauwe pixelachtergrond en drie vinkjes: waarom snelheidsregels AI-kaarttesters missen, browsersignalen die hen blootleggen en betaling blokkeren vóór checkout

Hoe AI-Kaarttesters te Blokkeren

AI-kaarttesters tasten betalingsstromen af met echte browsers. Leer de browsersignalen die ze blootleggen voordat een transactie wordt voltooid.

cside-beveiligingsplatform dat meerdere AI-agentverbindingen classificeert — browserlaag agentdetectie en vertrouwensbeheer

Hoe u een AI-agentdetectieoplossing kiest

Vijfstappengids voor CISO's die AI-agentdetectieoplossingen evalueren: architectuur, classificatie, leveranciersprofielen en POC-methodologie.

Donkere cside-blogomslag met een browserinterface die bot- en AI-agentverkeer filtert naar vertrouwde en geblokkeerde paden

Beste Bot- en Agentvertrouwensbeheerplatforms Vergeleken (2026)

Forrester definieert de categorie. cside, DataDome, HUMAN Security, Kasada en Arkose Labs vergeleken op detectielaag, intentie en agentische dekking.

cside beveiligingsschild dat een browsercursorpad monitort — AI-agentdetectie op de browserlaag

Hoe Blokkeer Je OpenAI Operator op Je Website

OpenAI Operator surft op je site als een echte gebruiker. Leer detecteren en blokkeren via browserlaag-signalen en wanneer je dat niet moet doen.

DBSC versus device-fingerprinting: wat de sessiebeveiliging van Chrome niet dekt

Chrome's DBSC stopt hergebruik van gestolen cookies, maar werkt alleen in Chrome, pas na inloggen en zonder device-identiteit. Dit laat het open.

Perplexity Shopper detecteren en blokkeren op uw website — cside blog

Hoe u Perplexity Shopper op uw website kunt blokkeren

Perplexity Shopper browst en koopt op retailwebsites namens Pro-gebruikers. Leer hoe u de browsersignalen detecteert en het verkeer beheert.

Wanneer een AI-API het antwoord van een andere gebruiker teruggeeft: gedeelde caches en cross-tenant lekken

Een incident met de Claude-API lijkt antwoorden van andere gebruikers te hebben teruggegeven. Waarom gedeelde caches cross-tenant lekken veroorzaken.

Een OAuth 2.0 access-token in het midden van een diagram dat een legitiem apparaat met het apparaat van een aanvaller verbindt

MFA faalde niet, het vertrouwensmodel faalde: device code phishing en OAuth-tokendiefstal (Kali365)

Kali365 misbruikt de OAuth 2.0 device authorization grant om Microsoft 365-tokens te stelen na MFA. Een technische analyse van de flow, FOCI en detectie.