Beheer

Security
2-step verification

Multi-factorauthenticatie waardeloos door nieuwe aanvalsmethode

De hogere beveiliging van MFA wordt door cybercriminelen omzeild, waarschuwt Microsoft.

© Shutterstock Sachiczko
13 juli 2022

De hogere beveiliging van MFA wordt door cybercriminelen omzeild, waarschuwt Microsoft.

Multifactor authentication (MFA) is misschien beter dan 'traditionele' beveiliging met gebruikersnaam en wachtwoord, maar afdoende is het zeker niet. Microsoft ontdekte een grootschalige phishingcampagne waarbij de criminelen een proxy-methode gebruiken om MFA om de tuin te leiden.

In dit geval verleiden de aanvallers het slachtoffer via een link in de phishingmail contact te maken met een gemanipuleerde website, bijvoorbeeld van de bank. Het slachtoffer logt in op de phishingsite en die gegevens worden door de proxy gelijk doorgesluisd naar de officiële site.

Site-in-the-middle hack

Die echte site reageert met het MFA-scherm, dat door de phishingsite weer wordt doorgezet naar de gebruiker. De extra authenticatie-informatie die het slachtoffer intoetst wordt vervolgens weer doorgezet naar de officiële site. Daarop verleent deze een sessiecookie die wordt onderschept door de phishingsite die met een proxyserver de verbinding tussen het slachtoffer en de doelsite opzet, maar zelf in het midden blijft zitten. Vervolgens kunnen de criminelen de sessie overnemen en namens het slachtoffer handelen. Het slachtoffer zelf wordt naar een andere webpagina geleid.

Volgens een rapport dat Microsoft gisteren publiceerde, hebben criminelen sinds september al meer dan duizend keer op deze manier accounts overgenomen. De criminelen gingen daarbij nog verder dan alleen het binnendringen van gebruikersaccounts. In sommige gevallen blijkt het mogelijk met de sessiecookie een authenticatie uit te voeren op Outlook online. In dat geval kunnen de criminelen toegang krijgen tot de mail ondanks dat de betreffende organisatie standaard een MFA-authenticatie afdwingt. Vervolgens werd in de mailaccounts gekeken naar berichten waarin gesproken wordt over zakelijke contacten en contracten. Daarna werd met de identiteit van het slachtoffer zo'n contact verleid om grote sommen geld over te maken naar rekeningen waarvan het contact veronderstelt dat deze van de betrokken werknemer is.

Inboxregels maskeren

De criminelen die deze aanvallen uitvoeren, ontsnappen aan de aandacht door inboxregels aan te maken die hun berichtenverkeer automatisch naar een gearchiveerde mailbox sluisden. Daarbij worden die berichten aangemerkt als 'al gelezen' zodat de echte gebruikers niets doorhebben. Zo kunnen de criminelen periodiek kijken of er nog nieuwe mail voor hun is binnengekomen op de accounts van hun nietsvermoedende slachtoffers.

De onderzoekers van het Microsoft Threat Intelligence Center laten in hun blogpost over deze aanval ook zien hoe makkelijk het is om in de val te trappen. De mails die cybercriminelen afvuren, zien er authentiek uit en het feit dat werknemers met MFA inloggen geeft die slachtoffers het vertrouwen dat het wel goed zit. Het enige punt dat voor een alarm zou moeten zorgen is de URL van de pagina waarmee contact is.

Overigens benadrukt Microsoft dat MFA een van de beste methoden is om het overnemen van accounts tegen te gaan, maar het systeem is niet waterdicht.

5
Reacties
Erwin1 02 augustus 2022 09:34

waar het hier dus om draait is het maniupuleren van het Sessie Cookie. Dus is het gewenst om het endpoint waar de authenticatie initieel is opgezet het sessie cookie te laten controleren op validiteit, en of het cookie ook daadwerkelijk van de betreffende site af komt, en daarnaast dat de site zelf controleert of het sessie cookie ook daadwerkelijk door het endpoint is aangevraagd cq. het authenticatieverzoek met dat cookie van het juiste endpoint af komt.
Als je zo eenvoudig sessie cookies van het ene naar het andere endpoint kan verpolaatsen, maar daarbij wel de authenticatie in stand blijft, dan is er iets mis in de manier waarop die cookies gebruikt worden.

Sigurd Felix 16 juli 2022 22:08

Volgens mij ziet GerbenT het goed. Passwordless en Codeless (Bijv.Microsoft Authenticator app op Azure AD blijven buiten schot. Ook de ICloud methode met een code die door Apple gegenereerd wordt zal voor deze vorm van Phishing niet werken. Dus altijd MFA en liefst passwordless of anders codeless. En eventueel aanvullen met Conditional Access Rules

GerbenT 16 juli 2022 12:52

Als ik dit zo lees werkt dat alleen met een specifieke vorm van MFA waarbij de gebruiker een code zelf intikt die via sms of een sleutelgenerator komt. Mocht ik het per toeval allemaal goed hebben begrepen werkt dit dus zeker niet met een hardware key die b.v. FIDO of FIDO2 ondersteunt. Dit is o.a. gemaakt om deze kwetsbaarheid te voorkomen.
Mocht je nu meteen zon hardware key gaan kopen, koop er dan 2. Een backup is zeker hier belangrijk.
De kop van dit artikel begrijp ik wel maar een beetje nuancering in het artikel is misschien op zijn plaats.

Jan Halkes 16 juli 2022 12:51

@Joost van der Eijk: Criminelen die zover zijn dat ze MFA weten te omzeilen zullen ook wel in staat zijn het email adres "dat er achter zit" te wijzigen in iets vertrouwds. Uit uw welgemeende maar misleidende reactie blijkt hoe moeilijk het is phising te bestrijden. De meeste mensen hebben geen idee hoe internet werkt en in dit geval, wat een URL is en hoe je die kunt zien. Thijs Doorenbosch geeft aan dat dat het *enige* zwakke punt is bij deze criminelen. Microsoft heeft een bijna-monopolie positie kunnen opbouwen door op dit soort punten haar klanten met opzet dom te houden. Daar plukken we nu de wrange vruchten van.

Joost van der Eijk 16 juli 2022 11:10

MFA werkt perfect.
Maar ook hier weer de gebruiker die op een link klikt omdat het zo vertrouwd over komt.
Stelregel: NOOIT doen tenzij je op dat moment met iets bezig bent dat een email (met link) tot gevolg heeft dat je ook verwacht, b.v. wachtwoord wijzigen.
Anders, nogmaals NOOIT.
Voor het bedrijfsleven het zelfde. NOOIT op de link klikken van een email van een collega, bekende, klant, leverancier of wat dan ook. Tenzij je die email op dat moment ook verwacht.
En dan nog, controleer ALTIJD de afzender van de email, dus niet alleen de naam die je ziet maar ook het email adres dat er achter zit.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.