In het huidige technologische tijdperk geloven de meeste mensen dat het gebruik van tweefactorauthenticatie hun laatste verdedigingslinie is. Hoewel deze veronderstelling niet verkeerd is, zijn er manieren waarop hackers 2FA kunnen omzeilen en persoonlijke gegevens kunnen stelen. Degenen die het 2FA-beveiligingssysteem willen omzeilen, gebruiken naar verluidt een nieuwe Adversary-in-The-Middle (AiTM) phishing-kit genaamd Tycoon 2FA, die een bedreiging vormt voor zowel Microsoft 365 als Gmail.
De kit is gekoppeld aan het Tycoon 2FA Phishing-as-a-Service (PhaaS) platform. Met behulp van de kit proberen hackers zich te richten op Microsoft 365- en Gmail-accounts. Met dit pakket en technieken zoals het gebruik van het klantenservicenummer van Apple om nietsvermoedende slachtoffers te misleiden, is de dreiging van phishing-aanvallen groter dan ooit.
Wat is de nieuwe Gmail-dreiging, de Tycoon 2FA phishing-kit?
Tycoon 2FA werd voor het eerst ontdekt door het Sekoia Threat Detection & Research-team en is een Phishing-as-a-Service-platform dat oorspronkelijk werd geadverteerd via particuliere Telegram-kanalen. Het werkt met behulp van een Adversary-in-The-Middle phishing-kit, waarbij een reverse proxy-server de phishing-pagina host. Legitieme services geven vervolgens de inloggegevens door.
Er zijn een paar stappen die slachtoffers volgen die de Tycoon 2FA-aanval tot een succes maken voor de hackers. De aanval begint meestal wanneer een slachtoffer een e-mail ontvangt met een kwaadaardige QR-code of website die het slachtoffer naar de phishing-site leidt. Bij interactie zorgt de QR-code of link ervoor dat slachtoffers de Cloudflare-beveiligingscontrole bezoeken die veel websites gebruiken om ongewenst verkeer te voorkomen en de bots eruit te filteren. Omdat deze uitdagingen of controles vaak voorkomen, denken de meeste mensen er niet veel over na.
Zodra de slachtoffers de beveiligingsuitdaging hebben voltooid, worden ze doorgestuurd naar een nep-Microsoft-pagina die hun inloggegevens verzamelt. In dit stadium bootst de kit de 2FA-prompts na, zoals SMS OTP, oproepverificaties en pushmeldingen van de authenticator-app. Door de 2FA-invoer in handen te krijgen, kunnen hackers geldige sessiecookies genereren en Multifactor Authentication (MFA)-beveiligingen omzeilen.
Zodra de hackers zich authenticeren met behulp van de doorgegeven inloggegevens, worden de slachtoffers doorgestuurd naar een legitiem ogende foutpagina. De pagina verbergt het succes van de phishing-aanval. Omdat de aanvallers echter vrij toegang hebben tot de accounts van het slachtoffer, kunnen ze er alles mee doen.
Hoe bescherm je jezelf tegen Tycoon 2FA?
Deze phishing-zwendel maakt gebruik van geavanceerde methoden om hun prooi te laten geloven dat ze hun inloggegevens op legitieme websites invoeren. U kunt uzelf echter beschermen met behulp van enkele van deze stappen. Ten eerste: vermijd het vertrouwen van links en QR-codes die naar u worden verzonden via ongevraagde e-mails of berichten, en bezoek handmatig officiële sites om dit te verifiëren.
U kunt ook een 2FA-methode gebruiken die gebruikmaakt van hardwarebeveiligingssleutels of biometrie, aangezien hackers de phishing-aanvallen niet kunnen omzeilen. Lees ten slotte alle nieuwe phishing-technieken die hackers gebruiken, zodat u zich beter kunt voorbereiden. De technieken die hackers gebruiken om gebruikersgegevens te verkrijgen zijn immers voortdurend in ontwikkeling, en alert blijven is van cruciaal belang.
