Het wordt eenvoudiger voor criminelen om sommige vormen van multifactorauthenticatie te omzeilen. Een toolkit die daarbij helpt, is immers voor een habbekrats online beschikbaar.
Multifactorauthenticatie maakt accounts véél veiliger, maar is niet zaligmakend. Een toolkit voor cybercriminelen die MFA min of maar kan omzeilen, is nu immers op het dark web beschikbaar. MFA blijft waterdicht wanneer hackers enkel logingegevens hebben. Zonder extra authenticatie kunnen ze met die gegevens alleen niet inbreken. De toolkit helpt aanvallers echter om de extra MFA-authenticatie tijdens het phishing-proces te bekomen, zelfs wanneer je met een authenticatie-app zoals de Microsoft Authenticator werkt.
De phishing-kit is volgens Microsoft beschikbaar voor amper 300 dollar voor een basisversie en is vandaag al de motor achter meer dan één miljoen malafide e-mails per dag. De tool werkt door een legitieme website bij het phishing-proces te betrekken, al is de start van een aanval nog erg klassiek.
Phishingsite n het midden
Via een mail moet een mogelijk slachtoffers eerst verleid worden om op een link te klikken. Die link brengt je naar een malafide portaal waar hackers klaar zitten om je logingegevens te stelen. Het portaal stuurt de gegevens die je typt echter integraal door naar de rechtmatige dienst die wordt nagebootst. Wanneer jij je laat vangen en je gebruikersnaam en wachtwoord ingeeft, geven de hackers die op hun beurt in op de legitieme website.
lees ook
Wat is MFA en hoe veilig is het echt?
Die goedaardige site is zich van geen kwaad bewust. Aangezien de combinatie van gebruikersnaam en wachtwoord klopt, stuurt de site het slachtoffer een verzoek voor extra authenticatie. Als slachtoffer heb je op dat moment geen reden om argwanend te zijn. De viseert vooral accounts die met een zogenaamd time-based one-time password (TOTP) beveiligd zijn. Dat is een cijfercode die gegenereerd wordt door een authenticator app en heel frequent vernieuwt (ongeveer iedere 30 seconden). Direct na het inloggen moet je de cijfercode ingeven. Het nietsvermoedende slachtoffer voert het TOTP nu in op de phishingsite, dat de code opnieuw onmiddellijk doorgeeft naar het legitieme portaal.
Daar is het inloggen nu geslaagd. De legitieme website verzend daarom een authenticatie-cookie naar wie ingelogd heeft. Helaas is dat niet het slachtoffer, maar de hackers die via hun phishingportaal netjes in het midden van het inlogproces zaten. Zo verwerven ze zich toegang tot een account, zonder dat het slachtoffer daar noodzakelijk iets van beseft.
Beperkingen van MFA
De aanval toont aan hoe krachtig phishing kan zijn, en illustreert tevens de beperkingen van MFA. MFA werkt perfect om aanvallen te voorkomen waar hackers inloggegevens hebben bemachtigd, maar is niet in staat om een geavanceerde realtime-aanval tegen te houden waarbij het slachtoffer wordt verleidt om MFA uit te voeren en door te geven. In essentie is deze aanval een geavanceerde versie van de crimineel die je belt met de vraag om de code van het bakje van je bank te dicteren.
De verdediging blijft dezelfde: klik niet zomaar op links in mails. Als afzender en url in het oog houdt, kan er doorgaans niet zo veel mislopen. Een handig alternatief is om niet via de link in een mail naar een website te surfen waar je logingegevens moet ingeven. Investeer de beperkte extra moeite om de url naar de website zelf te typen of via je favorieten naar het inlogportaal te navigeren. Zo voorkom je dat je wordt omgeleid naar een website van hackers.
MFA blijft heel nuttig
We willen er toch nog eens op wijzen dat MFA ook met deze beperking extreem nuttig is, ook de minder veilige versies zoals sms of TOTP. Het gros van de aanvallen gebeurt via eenvoudig verkregen wachtwoorden of credential stuffing. In dat laatste geval proberen aanvallers in te loggen met inloggegevens die gelekt zijn bij een eerder hack van een andere dienst. Die techniek zou niet werken wanneer iedereen voor iedere dienst een uniek wachtwoord zou kiezen maar slechts een kleine minderheid doet dat. Al die aanvallen worden via MFA voorkomen.
MFA als concept blijft min of meer waterdicht. De beperking doet zich voor wanneer een hacker iemand overtuigt om MFA-gegevens door te geven of te authentiseren op zijn vraag, zoals ook in deze aanval gebeurt.