Residentiële proxies: hoe aanvallers zich verstoppen in gewoon internetverkeer
Artikel inhoud
Residentiële proxies leiden aanvalsverkeer via IP-adressen van gewone thuisgebruikers, waardoor IP-reputatiefilters falen. Detectie vereist gedragsanalyse, ASN-verrijking en TLS-fingerprinting. Directe maatregel: multi-factor authenticatie op alle externbereikbare systemen en ASN-metadata toevoegen aan je loganalyse.
Bij het incident response-team van DEFION zien we een patroon dat steeds vaker voorkomt: de aanvaller verbindt niet langer vanaf een server in het buitenland of via een makkelijk te herkennen commerciële VPN, maar vanaf IP-adressen van thuisproviders, vaak uit hetzelfde land en zelfs uit dezelfde regio als het slachtoffer. Achter deze verschuiving zitten netwerken van residentiële proxies.
Het is geen losstaande waarneming. Het Nationaal Cyber Security Centrum van Nederland (NCSC-NL) publiceerde eind mei 2026 het inlichtingenrapport "Residential proxies and consumer devices exploited for malicious purposes" en waarschuwde voor een groeiende trend in het kwaadaardig gebruik van residentiële proxies. In dit artikel leggen we uit wat ze zijn, hoe aanvallers ze inzetten en vooral hoe je ze detecteert.
Wat is een residentiële proxy
Een residentiële proxy is een tussenschakel die het verkeer van de aanvaller omleidt via de verbinding en het IP-adres van een echte thuisgebruiker: een router, een mobiele telefoon, een smart-tv of een willekeurig apparaat uit het internet of things. Omdat telecomproviders die adressen toewijzen en ze in databases als "residentieel" staan geregistreerd, lijkt het kwaadaardige verkeer afkomstig van een gewone burger die vanuit huis surft, en niet van een datacenter of een bekende anonimiseringsdienst.
Daar zit het cruciale verschil met datacenterproxies of commerciële VPN's, die relatief makkelijk te herkennen en te blokkeren zijn. De residentiële proxy gaat op in het legitieme verkeer, en daarom vertrouwen veel beveiligingssystemen hem meer.
Volgens het NCSC worden deze netwerken op drie manieren gevoed:
- Bewuste deelname: de gebruiker installeert proxysoftware, gratis of betaald, en staat zijn verbinding af in ruil voor geld of toegang tot een dienst. De voorwaarden hierover zijn soms verborgen in de kleine lettertjes.
- Malware-infectie: het apparaat is gecompromitteerd zonder medeweten van de eigenaar. Malware verbindt het apparaat als achtergrondproces met het proxy-netwerk.
- SDK-integratie in legitieme apps: ontwikkelaars integreren een SDK van een proxy-aanbieder in hun applicatie. Apparaten van gebruikers nemen automatisch deel aan het netwerk, zonder dat de gebruiker hiervan op de hoogte is.
Hoe aanvallers residentiële proxies inzetten
De toepassingen zijn breed. Op basis van onze incident response-casuistiek en het NCSC-rapport zien we de volgende scenario's:
Credential stuffing en account takeover
Een aanvaller met een gelekte gebruikersnamenlijst verspreidt inlogpogingen over duizenden residentiële IP-adressen. Beveiligingssystemen die blokkeren op basis van IP-reputatie of volume per IP, zien elke poging als afkomstig van een unieke, legitieme gebruiker. Het resultaat: succesvolle accountovernames die in de logs nauwelijks opvallen.
Omzeilen van geo-restricties
Organisaties blokkeren verkeer uit bepaalde regio's of landen. Een residentieel IP-adres uit de juiste regio passeert deze filters moeiteloos. Voor een aanvaller die toegang wil tot een Nederlandstalig beheerportaal met geo-restrictie, volstaat een Nederlands residentieel adres.
Phishing-infrastructuur en C2-verkeer
Phishing-pagina's en command-and-control servers worden via residentiële proxies aangesproken, zodat URL-scanners en reputatiediensten een "gewoon" IP-adres zien. De kwaadaardige infrastructuur blijft zo langer operationeel.
Geautomatiseerde fraude
Advertentienetwerken en platformen detecteren klikfraude en botgedrag deels via IP-reputatie. Residentiële IP's passeren deze controles, wat ze aantrekkelijk maakt voor fraude-operaties op schaal.
Hoe je ze detecteert
IP-reputatiefilters werken hier niet. De aanvaller heeft een schoon IP-adres. Detectie vereist een andere benadering:
ASN-analyse en ISP-metadata
Elke verbinding kan worden verrijkt met het Autonomous System Number (ASN) en de bijbehorende provider. Residentiële IP's vallen onder consumenten-ASN's. Een verzoek dat via een consumenten-ISP binnenkomt maar het gedragspatroon van een geautomatiseerde aanval vertoont, is een eerste detectiesignaal.
Gedragsanalyse en TLS-fingerprinting
Waar een menselijke gebruiker variabele responstijden heeft en door een applicatie navigeert met normale browser-interacties, vertonen geautomatiseerde proxies kenmerkende patronen: vaste TLS-fingerprints (JA3/JA3S), perfecte tijdsregelmaat, afwezigheid van standaard HTTP-headers zoals Accept-Language, en het niet aanvragen van CSS- of JavaScript-resources die een browser normaal laadt.
Sessie- en volumepatronen
Een echte gebruiker navigeert in één sessie sequentieel. Geautomatiseerd proxy-verkeer vertoont vaak honderden parallelle verbindingen of statistisch regelmatige patronen die detecteerbaar zijn voor zelfs eenvoudige anomalie-detectie. Zeker wanneer één gebruikersnaam vanuit tientallen verschillende residentiële IP's probeert in te loggen, is dat een hard detectiesignaal — ook als elk afzonderlijk IP "schoon" is.
Wat dit betekent voor jouw organisatie
Residentiële proxies zijn geen nieuw fenomeen, maar hun gebruik door kwaadwillenden is structureel gegroeid. Het NCSC-NL beschrijft in het rapport dat ook consumenten-IoT-apparaten, zoals thuisrouters, een steeds groter aandeel vormen in deze netwerken. De schaal en beschikbaarheid van commerciële residentiële proxy-diensten maken laagdrempelig misbruik mogelijk voor elke aanvaller met een basisbudget.
Voor securityteams zijn er drie directe aandachtspunten:
- Vertrouw niet blind op IP-reputatie. Blocklists helpen, maar een residentieel IP doorstaat de meeste reputatiechecks. Voeg gedragscomponenten toe aan je detectie.
- Verrijk je logs met ASN en ISP-data. Dit maakt onderscheid mogelijk tussen consumenten- en datacenterverkeer, ook als het IP-adres zelf geen rode vlaggen geeft.
- Multi-factor authenticatie beperkt de schade. Credential stuffing via residentiële proxies is significant effectiever bij accounts zonder MFA. MFA op alle externbereikbare systemen is een basisvereiste.
Voor organisaties die vermoeden dat hun systemen zijn blootgesteld aan geautomatiseerde aanvallen via residentiële proxies, of die willen weten hoe hun huidige detectiecapaciteit scoort: een Compromis Assessment of een gesprek met ons Incident Response-team is een logische eerste stap.
Vermoedt u verdacht verkeer in uw omgeving?
Ons Incident Response-team analyseert logdata, identificeert indicatoren van compromise en helpt bij remediatie.
Neem contact op
®