BLOG – Multi-factorauthenticatie (mfa) is een van de tools in moderne cybersecurity. De afgelopen jaren groeide die beveiligingsmethode uit tot een geavanceerdere tool. Maar niet alleen cybersecuritymiddelen ontwikkelen zich, ook aanvalsmethoden van cybercriminelen worden steeds verfijnder. Zo ook de methoden voor het omzeilen van mfa.
Hoewel kwaadwillenden in staat zijn tot het omzeilen van mfa, bestaat het idee dat mfa bijna perfect is. Toch blijkt uit onderzoek dat bijna de helft van alle accounts die zijn overgenomen door cybercriminelen die de authenticatiemethode wisten te ontwijken. Desondanks vindt iets meer dan tachtig procent van de Nederlandse cybersecurityprofessionals dat mfa volledige bescherming biedt tegen accountovername. Er is dus sprake van een disbalans.
Wat wél helpt bij het beperken van de ‘mfa-bypass’, is een robuuste defence-in-depth-methode. Deze gelaagde aanpak ondersteunt bij zowel het verkleinen van de kans op een significante inbraak als het beperken van de gevolgen van accountovername.
Zes vormen
Mfa is effectief, omdat gebruikers zich verifiëren via meerdere manieren. Het maakt een combinatie tussen iets wat al bekend is (vaak het wachtwoord) met iets dat ze hebben, zoals een authenticatieapp of token, of met iets dat ze zijn, zoals het gezicht. Dat klinkt allemaal heel veilig. Toch weten dreigingsactoren deze methode te omzeilen. Hierbij zijn veel tactieken geavanceerd. Dit zijn de zes populaire vormen:
- Phishingaanvallen
Cybercriminelen misleiden gebruikers om hun mfa-code of aanmeldingsgegevens in te voeren op valse websites die onder het beheer staan van de aanvallers. - Mfa-vermoeidheid
Kwaadwillenden hebben het wachtwoord al achterhaald. Ze starten nu met het sturen van mfa-meldingen waarbij het veroorzaken van verwarring het doel is. De notificaties stoppen alleen wanneer het verzoek tot toegang wordt goedgekeurd. - Kapen van de sessie
Cybercriminelen stelen sessiecookies na authenticatie. Dit maakt de voorafgaande mfa-verificatie ongeldig. - Sim-swapping
Deze techniek ondermijnt op sms-gebaseerde multi-factorverificatie door het telefoonnummer van het slachtoffer over te dragen aan de aanvaller. De dreigingsactor moet hiervoor de mobiele provider social engineeren, of een insider bij de organisatie hebben, wil deze methode succesvol zijn. - Social engineering
De meeste organisaties stellen externe medewerkers in staat hun wachtwoorden en mfa-configuraties te laten resetten zonder dat ze persoonlijk aanwezig zijn. Dat is allemaal prima, mits de organisatie over de juiste identiteitsverificatie bezit. Zonder de juiste verificatiemethoden is het mogelijk dat it-support de referenties van een gespoofde medewerker deelt met een cybercrimineel, zonder zich hier bewust van te zijn. - Adversary-in-the-middle-aanvallen
Tools van aanvallers, zoals de gespecialiseerde phishingkit Evilginx, onderscheppen sessietokens. Vervolgens sturen ze deze tokens door naar legitieme services die de aanvallers toegang verlenen.
Mfa voegt ongetwijfeld een waardevolle laag toe aan de security van gebruikersauthenticatie. Dit bemoeilijkt het inbreken voor dreigingsactoren. Toch blijft het riskant om slechts één verdedigingsmethode in te zetten, zeker nu cybercriminelen mfa weten te omzeilen. Eigenlijk zou deze securitymethode slechts een onderdeel moeten zijn van een groter securityprogramma, want het is geen definitieve verdediging. Zo bestaat heel de kern van defence-in-depth dat het implementeren van extra securitylagen de kans op een succesvolle aanval verkleint, ook als kwaadwillenden een laag doorbreken.
Zo’n defence-in-depth-methode omvat meerdere, overlappende securitymaatregelen, wat resulteert in overlap. Ook vermindert het de mogelijkheden dat een aanvaller kwetsbaarheden kan uitbuiten.
Zes tips
Organisaties kunnen hun verdediging tegen het omzeilen van MFA versterken met de volgende zes tips:
- Versterk endpointsecurity
Identificeer en beperk ongeautoriseerde toegang op hostniveau met endpoint detection & response-tools. - Investeer in bescherming tegen credential phishing
De meeste dreigingsactoren geven de voorkeur aan gerichte, sociaal gemanipuleerde phishingaanvallen voor het buitmaken van referenties van gebruikers. Door het investeren in bescherming tegen credential phishing beschermen organisaties zowel zichzelf als de medewerkers. - Zorg voor phishingresistente-mfa
Schakel over naar meer geavanceerde mfa-methoden, zoals hardwaresecuritysleutels (Fido2) of biometrie. Deze zijn minder gevoelig voor phishing- en mfa-bypassaanvallen. - Implementeer tools tegen account takeovers
Voer methoden in die accountovernames in de cloud detecteren, onderzoeken en er automatisch op incidenten reageren. Dit zorgt ervoor dat de aanval wordt gestopt, voordat er ook maar enige schade ontstaat. - Vergroot het bewustzijn van medewerkers
Medewerkers vormen een grote zwakke schakel in organisaties, vaak zonder dat ze dat weten. Train medewerkers op het herkennen van phishingpogingen en andere social engineeringtechnieken die gericht zijn op hun mfa-referenties. Zo vergroten organisaties niet alleen het cybersecuritybewustzijn van medewerkers, ze beperken ook de kans op succesvolle aanvallen. - Maak een plan voor incidentrespons en –herstel
Organisaties doen er verstandig aan om zich voor te bereiden op het allerergste scenario. Een goed gedefinieerd incidentresponseplan ondersteunt in het snel intrekken van toegangstokens en verdachte aanmeldingen te onderzoeken.
Dynamische aard
De strijd tegen mfa-bypastactieken weergeeft de dynamische aard van de huidige cyberdreigingen. Een defence-in-depthstrategie vangt, zelfs wanneer een securitylaag in de organisatie faalt, de impact op en beschermt zo andere schade. Het ondersteunt organisaties dus bij het beperken van heel veel schade. Cybercriminelen hebben steeds geavanceerdere aanvalsmethoden. Door als organisatie geavanceerde, proactieve securitymaatregelen toe te passen, blijf je hen altijd een stap voor en verklein je de kans op succes. En juist dat is wat we willen.
Siegfried Huijgen is cybersecurityexpert bij Proofpoint
