Het MFA-Dilemma: hoe slimme aanvallers protocollen omzeilen
De Multi Factor Authenticatie (MFA) bescherming van Gmail en Microsoft 365 is niet langer veilig. Via Telegram kunnen slimme aanvallers de ‘Tycoon 2FA’ phishing kit aanschaffen en de MFA-beschermingen eenvoudig omzeilen. Het gebruik van gestolen inloggegevens blijkt een veelvoorkomende tactiek te zijn bij dergelijke aanvallen. Dit benadrukt de noodzaak om continu zicht te hebben op gelekte credentials.
Meerdere authenticatiemethoden steeds vaker vereist
Organisaties verplichten hun gebruikers of medewerkers steeds vaker om in te loggen met Tweestapsverificatie (2FA) of Multifactor Authenticatie (MFA). Deze veiligheidsmaatregelen bieden een extra laag bescherming boven op het traditionele gebruikersnaam en wachtwoord. Denk hierbij aan een eenmalig gegenereerde code via een app, e-mail of sms, een hardware token of zelfs een biometrische scan. Deze extra lagen van beveiliging worden beschouwd als effectieve afschrikmiddelen tegen inbreuken omdat ze de kans verkleinen dat een aanvaller toegang krijgt tot een account, zelfs als het wachtwoord wordt gecompromitteerd.
‘Tycoon 2FA’ phishing kit op Telegram
Maar biedt 2FA of MFA wel voldoende bescherming? Recente incidenten tonen aan dat zelfs de meeste geavanceerde MFA-protocollen worden omzeild door slimme aanvallers. Een opvallend voorbeeld is de opkomst van de ‘Tycoon 2FA’ phishing kit, dat via Telegram wordt verkocht en in staat is om MFA-beschermingen van Gmail en Microsoft 365 te omzeilen. Volgens Darkreading.com wordt de phishing kit op Telegram verkocht voor $120 voor 10 dagen. De prijzen kunnen echter variëren, afhankelijk van de top-level domein (TLD), en kunnen oplopen tot $320. De betalingen worden afgehandeld via een Bitcoin wallet beheerd door de "Saad Tycoon Group", de vermoedelijke operator en ontwikkelaar van Tycoon 2FA.
2FA en MFA is alweer outdated
Salesforce kondigt aan op 8 april 2024 MFA verplicht te stellen voor haar gebruikers. Door de recente incidenten bij Gmail en Microsoft 365 kun je stellen dat zij bij voorbaat al achter de feiten aanlopen. 2FA en MFA zijn niet langer voldoende om moderne dreigingen het hoofd te bieden. Slimme aanvallen vragen om een meer proactieve benadering van cybersecurity.
Credential Leak Monitoring
Het gebruik van gestolen inloggegevens blijkt een veelvoorkomende tactiek te zijn bij geavanceerde aanvallen, ondersteund door de stijgende meldingen van datalekken waarbij credentials zijn betrokken. Credential Leak Monitoring biedt een proactieve oplossing om organisaties te beschermen tegen credential-based aanvallen. Het biedt organisaties een essentieel voordeel door hen in staat te stellen potentiële bedreigingen vroegtijdig te identificeren en te mitigeren. Door voortdurend toezicht te houden op verschillende bronnen, waaronder het dark web, messaging apps zoals Telegram en paste sites, kunnen gelekte inloggegevens worden opgespoord voordat ze worden misbruikt. Deze proactieve benadering stelt organisaties in staat om te anticiperen op potentiële aanvallen en snel passende maatregelen te nemen om hun systemen en gegevens te beschermen.
Continuïteit waarborgen
Door samen te werken met gespecialiseerde partners zoals het Centrum voor Cybersecurity, Veiligheid en Technologie (CCVT), kunnen organisaties profiteren van geavanceerde monitoring en analyses van gelekte credentials, waardoor ze een stap voor blijven op cybercriminelen. In plaats van zich te verschuilen achter het idee dat MFA voldoende bescherming biedt, is het tijd voor organisaties om proactief te handelen, zich te wapenen met geavanceerde beveiligingsmaatregelen en daarmee continuïteit in het monitoren te waarborgen.
Door: Sven Mik, Cyber Researcher bij het Centrum voor Cybersecurity Veiligheid en Technologie (CCVT)
