Als het om toegangsbeveiliging gaat, steekt één aanbeveling boven de rest uit: multi-factor authenticatie (MFA). Omdat wachtwoorden alleen al eenvoudig werk zijn voor hackers, biedt MFA een essentiële beschermingslaag tegen inbreuken. Het is echter belangrijk om te onthouden dat MFA niet onfeilbaar is. Het kan worden omzeild, en dat is vaak ook het geval.
Als een wachtwoord in gevaar komt, zijn er verschillende opties beschikbaar voor hackers die de extra bescherming van MFA willen omzeilen. We onderzoeken vier social engineering-tactieken die hackers met succes gebruiken om MFA te doorbreken en benadrukken het belang van een sterk wachtwoord als onderdeel van een gelaagde verdediging.
1. Adversary-in-the-middle-aanvallen (AITM).
AITM-aanvallen houden in dat gebruikers worden misleid door te geloven dat ze inloggen op een echt netwerk, applicatie of website. Maar in werkelijkheid geven ze hun informatie door aan een frauduleuze lookalike. Hierdoor kunnen hackers wachtwoorden onderscheppen en beveiligingsmaatregelen manipuleren, waaronder MFA-prompts. Een spearphishing-e-mail kan bijvoorbeeld in de inbox van een werknemer terechtkomen en zich voordoen als een vertrouwde bron. Als ze op de ingesloten link klikken, worden ze naar een nagemaakte website geleid waar hackers hun inloggegevens verzamelen.
Hoewel MFA deze aanvallen idealiter zou moeten voorkomen door een extra authenticatiefactor te vereisen, kunnen hackers een techniek gebruiken die bekend staat als ‘2FA pass-on’. Zodra het slachtoffer zijn inloggegevens op de nepsite invoert, voert de aanvaller onmiddellijk dezelfde gegevens in op de legitieme site. Dit activeert een legitiem MFA-verzoek, waarop het slachtoffer anticipeert en direct goedkeurt, waardoor de aanvaller onbewust volledige toegang krijgt.
Dit is een gebruikelijke tactiek voor dreigingsgroepen zoals Storm-1167, die bekend staan om het maken van valse Microsoft-authenticatiepagina’s om inloggegevens te verzamelen. Ze creëren ook een tweede phishing-pagina die de MFA-stap van het Microsoft-inlogproces nabootst, waarbij het slachtoffer wordt gevraagd zijn MFA-code in te voeren en de aanvallers toegang te verlenen. Van daaruit krijgen ze toegang tot een legitiem e-mailaccount en kunnen dit gebruiken als platform voor een meerfasige phishing-aanval.
2. MFA-promptbombardementen
Deze tactiek maakt gebruik van de pushmeldingsfunctie in moderne authenticatie-apps. Nadat een wachtwoord is gecompromitteerd, proberen aanvallers in te loggen, waardoor een MFA-prompt naar het apparaat van de legitieme gebruiker wordt verzonden. Ze vertrouwen erop dat de gebruiker het voor een echte prompt aanziet en deze accepteert, of gefrustreerd raakt door voortdurende prompts en er een accepteert om de meldingen te stoppen. Deze techniek, bekend als MFA-promptbombardementen, vormt een aanzienlijke bedreiging.
Bij een opmerkelijk incident hebben hackers van de 0ktapus groep heeft de inloggegevens van een Uber-contractant gecompromitteerd via sms-phishing, ging vervolgens verder met het authenticatieproces vanaf een machine die ze controleerden en vroeg onmiddellijk om een multi-factor authenticatiecode (MFA). Vervolgens deden ze zich voor als een lid van het Uber-beveiligingsteam op Slack en overtuigden ze de aannemer ervan de MFA-pushmelding op hun telefoon te accepteren.
3. Servicedesk-aanvallen
Aanvallers misleiden helpdesks om MFA te omzeilen door te veinzen dat ze wachtwoorden vergeten en toegang te krijgen via telefoongesprekken. Als servicedeskagenten er niet in slagen de juiste verificatieprocedures af te dwingen, kunnen ze hackers onbewust een eerste toegangspunt tot de omgeving van hun organisatie geven. Een recent voorbeeld was de aanval op MGM Resorts, waarbij de Verspreide spin De hackergroep heeft op frauduleuze wijze contact opgenomen met de servicedesk voor een wachtwoordreset, waardoor ze konden inloggen en een ransomware-aanval konden lanceren.
Hackers proberen ook herstelinstellingen en back-upprocedures te misbruiken door servicedesks te manipuleren om MFA te omzeilen. 0ktapus Het is bekend dat ze hun toevlucht nemen tot de servicedesk van een organisatie als hun MFA-promptbombardement niet succesvol blijkt. Ze nemen contact op met de servicedesk en beweren dat hun telefoon niet werkt of verloren is, en vragen vervolgens om zich aan te melden voor een nieuw, door de aanvaller gecontroleerd MFA-authenticatieapparaat. Vervolgens kunnen ze misbruik maken van het herstel- of back-upproces van de organisatie door een link voor het opnieuw instellen van het wachtwoord naar het gehackte apparaat te laten sturen. Bezorgd over gaten in de beveiliging van de servicedesk? Leer hoe u de uwe kunt beveiligen.
4. SIM-wisselen
Cybercriminelen begrijpen dat MFA vaak gebruik maakt van mobiele telefoons als authenticatiemiddel. Ze kunnen hiervan misbruik maken met een techniek die ‘SIM-swap’ wordt genoemd, waarbij hackers serviceproviders misleiden om de diensten van een doelwit over te zetten naar een simkaart die zij beheren. Ze kunnen vervolgens effectief de mobiele service en het telefoonnummer van het doelwit overnemen, waardoor ze MFA-prompts kunnen onderscheppen en ongeautoriseerde toegang tot accounts kunnen krijgen.
Na een incident in 2022 publiceerde Microsoft een rapport waarin de tactieken van de bedreigingsgroep werden beschreven LAPSUS$. In het rapport werd uitgelegd hoe LAPSUS$ wijdt uitgebreide social engineering-campagnes aan het verkrijgen van eerste voet aan de grond bij doelorganisaties. Een van hun favoriete technieken is het targeten van gebruikers met SIM-swapping-aanvallen, samen met MFA-promptbombardementen, en het resetten van de inloggegevens van een doelwit via social engineering op de helpdesk.
U kunt niet volledig vertrouwen op MFA – wachtwoordbeveiliging is nog steeds belangrijk
Dit was geen exclusieve lijst met manieren om MFA te omzeilen. Er zijn ook verschillende andere manieren, waaronder het compromitteren van eindpunten, het exporteren van gegenereerde tokens, het exploiteren van SSO en het vinden van niet-gepatchte technische tekortkomingen. Het is duidelijk dat het instellen van MFA niet betekent dat organisaties het beveiligen van wachtwoorden helemaal kunnen vergeten.
Accountcompromis begint nog steeds vaak met zwakke of gecompromitteerde wachtwoorden. Zodra een aanvaller een geldig wachtwoord heeft verkregen, kan hij zijn aandacht verleggen naar het omzeilen van het MFA-mechanisme. Zelfs een sterk wachtwoord kan gebruikers niet beschermen als het is gehackt door een inbreuk of hergebruik van wachtwoorden. En voor de meeste organisaties zal volledig wachtwoordloos werken geen praktische optie zijn.
Met een tool als Specops Wachtwoordbeleid kunt u een robuust Active Directory-wachtwoordbeleid afdwingen om zwakke wachtwoorden te elimineren en voortdurend te scannen op gecompromitteerde wachtwoorden die het gevolg zijn van inbreuken, hergebruik van wachtwoorden of die worden verkocht na een phishing-aanval. Dit zorgt ervoor dat MFA dient als een extra beveiligingslaag zoals bedoeld, en niet alleen als een wondermiddel wordt gebruikt. Als u wilt ontdekken hoe Specops Wachtwoordbeleid kan aansluiten bij de specifieke behoeften van uw organisatie, neem dan contact met ons op.
