Multi-factorauthenticatie waardeloos door nieuwe aanvalsmethode
Multifactor authentication (MFA) is misschien beter dan 'traditionele' beveiliging met gebruikersnaam en wachtwoord, maar afdoende is het zeker niet. Microsoft ontdekte een grootschalige phishingcampagne waarbij de criminelen een proxy-methode gebruiken om MFA om de tuin te leiden.
© Shutterstock
Shutterstock
In dit geval verleiden de aanvallers het slachtoffer via een link in de phishingmail contact te maken met een gemanipuleerde website, bijvoorbeeld van de bank. Het slachtoffer logt in op de phishingsite en die gegevens worden door de proxy gelijk doorgesluisd naar de officiële site.
Site-in-the-middle hack
Die echte site reageert met het MFA-scherm, dat door de phishingsite weer wordt doorgezet naar de gebruiker. De extra authenticatie-informatie die het slachtoffer intoetst wordt vervolgens weer doorgezet naar de officiële site. Daarop verleent deze een sessiecookie die wordt onderschept door de phishingsite die met een proxyserver de verbinding tussen het slachtoffer en de doelsite opzet, maar zelf in het midden blijft zitten. Vervolgens kunnen de criminelen de sessie overnemen en namens het slachtoffer handelen. Het slachtoffer zelf wordt naar een andere webpagina geleid.
Volgens een rapport dat Microsoft gisteren publiceerde, hebben criminelen sinds september al meer dan duizend keer op deze manier accounts overgenomen. De criminelen gingen daarbij nog verder dan alleen het binnendringen van gebruikersaccounts. In sommige gevallen blijkt het mogelijk met de sessiecookie een authenticatie uit te voeren op Outlook online. In dat geval kunnen de criminelen toegang krijgen tot de mail ondanks dat de betreffende organisatie standaard een MFA-authenticatie afdwingt. Vervolgens werd in de mailaccounts gekeken naar berichten waarin gesproken wordt over zakelijke contacten en contracten. Daarna werd met de identiteit van het slachtoffer zo'n contact verleid om grote sommen geld over te maken naar rekeningen waarvan het contact veronderstelt dat deze van de betrokken werknemer is.
Inboxregels maskeren
De criminelen die deze aanvallen uitvoeren, ontsnappen aan de aandacht door inboxregels aan te maken die hun berichtenverkeer automatisch naar een gearchiveerde mailbox sluisden. Daarbij worden die berichten aangemerkt als 'al gelezen' zodat de echte gebruikers niets doorhebben. Zo kunnen de criminelen periodiek kijken of er nog nieuwe mail voor hun is binnengekomen op de accounts van hun nietsvermoedende slachtoffers.
De onderzoekers van het Microsoft Threat Intelligence Center laten in hun blogpost over deze aanval ook zien hoe makkelijk het is om in de val te trappen. De mails die cybercriminelen afvuren, zien er authentiek uit en het feit dat werknemers met MFA inloggen geeft die slachtoffers het vertrouwen dat het wel goed zit. Het enige punt dat voor een alarm zou moeten zorgen is de URL van de pagina waarmee contact is.
Overigens benadrukt Microsoft dat MFA een van de beste methoden is om het overnemen van accounts tegen te gaan, maar het systeem is niet waterdicht.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee