Ook wie MFA inschakelt om accounts te beveiligen, moet voorzichtig zijn. Microsoft waarschuwt dat hackers niet langer meer uit zijn op onze wachtwoorden, maar op onze aanmeldtokens.
Het principe van MFA begint stilaan goed ingeburgerd te geraken voor het beveiligen van online accounts, zowel in de particuliere als in de bedrijfswereld. Een positieve evolutie, want MFA biedt een extra laag bescherming bovenop het klassieke wachtwoord. Maar toch blijkt ook MFA niet honderd procent garantie te bieden. Het beveiligingsteam van Microsoft stelt vast dat hackers er steeds beter in slagen om MFA-beveiliging te omzeilen.
Veel MFA-systemen steunen op het gebruik van aanmeldtokens, zo ook Azure ID. Die moet je bovenop je inloggegevens kunnen voorleggen om te kunnen aanmelden. Dat biedt een extra stok achter de deur wanneer hackers je wachtwoord hebben weten bekomen. Echter hebben hackers nieuwe technieken ontwikkeld om naast de inloggegevens ook de aanmeldtokens te stelen.
lees ook
Microsoft Teams versleutelt authenticatie-tokens niet
Adversary-in-the-middle
Een eerste techniek die Microsoft beschrijft in een blog is ‘adversary-in-the-middle’, een nieuwe phishingtechniek. Anders dan bij klassieke phishingtechnieken bootsen de aanvallers hier niet de website na waarvoor ze je inloggegevens willen bekomen. In plaats daarvan laten ze je via een proxyverbinding aanmelden bij een legitieme website.
Op die manier bekomen ze niet enkel je inloggegevens, maar ook de token om de inlogpoging te kunnen verifiëren. Zo kunnen ze de MFA omzeilen en toegang krijgen tot je account.
Pass-the-cookie
Een andere methode omschrijft Microsoft als ‘pass-the-cookie’. Zoals de naam doet vermoeden, gaan hackers hier browsercookies trachten te compromitteren. De cookies kunnen immers de verificatiegegevens van de gebruikers bevatten.
Als ze erin slaan om die gegevens te extraheren, spelen ze die door naar hun eigen apparaten om in te loggen op je account. Volgens Microsoft zijn voornamelijk werknemers die hun persoonlijk apparaten gebruiken hier extra kwetsbaar voor, omdat persoonlijke apparaten vaak minder goed beveiligd zijn.
Om het risico op diefstal van tokens te verkleinen, moeten admins een volledig zicht hebben op waar en hoe gebruikers zich identificeren. Inlogpogingen mogen enkel geverifieerd worden als zowel de gebruiker als het gebruikte apparaat geregistreerd zijn.