'MFA vormt niet langer de onkwetsbare bescherming die het ooit was'

Onderzoekers van Cisco Talos melden een duidelijke toename van zogeheten adversary-in-the-middle-aanvallen. Bij deze aanvallen gebruiken aanvallers geen traditionele phishingpagina's, maar zetten ze reverse proxy-servers in die een directe verbinding maken met de echte inlogpagina van een dienst. Voor de gebruiker lijkt alles normaal, men logt in zoals gebruikelijk en bevestigt de MFA-verificatie. Wat de gebruiker echter niet ziet, is dat de communicatie via de server van de aanvaller verloopt. Hierdoor kunnen cybercriminelen niet alleen inloggegevens onderscheppen, maar ook de bijbehorende sessiecookie. Dit geeft hen volledige toegang tot de actieve sessie, zonder verdere tussenkomst van de gebruiker.

Phishing-as-a-Service

Een tweede ontwikkeling die Cisco Talos signaleert, is de groeiende beschikbaarheid van zogeheten Phishing-as-a-Service-platforms. Deze kant-en-klare toolkits, zoals Evilproxy en Tycoon 2FA, stellen aanvallers in staat om zonder diepgaande technische kennis geavanceerde aanvallen uit te voeren. Ze bevatten onder andere templates voor populaire diensten, filters voor IP-adressen en user agents, en technieken om detectie door beveiligingssoftware te omzeilen. Hierdoor kunnen steeds meer cybercriminelen professionele en grootschalige phishingcampagnes uitvoeren.

Daarnaast blijkt uit de analyse dat traditionele beveiligingsmaatregelen, zoals spamfilters en cyberawareness-trainingen, steeds minder effectief zijn tegen deze nieuwe aanvalsvormen. Zelfs combinaties van wachtwoorden en pushmeldingen, een veelgebruikte MFA-variant, kunnen met de juiste infrastructuur worden misbruikt. In sommige gevallen voegen aanvallers na een succesvolle inbraak zelfs extra MFA-apparaten toe aan het account, wat vaak onopgemerkt blijft en de controle over het account verder ondermijnt.

Bredere aanpak nodig

Volgens Cisco Talos is het essentieel dat organisaties zich voorbereiden op deze evoluerende dreigingen. Technologieën die bestand zijn tegen geavanceerde phishingtactieken kunnen de kans op succesvolle aanvallen aanzienlijk verkleinen. Een voorbeeld hiervan is WebAuthn, een gestandaardiseerde, wachtwoordloze vorm van authenticatie op basis van publieke cryptografie. Deze methode werkt met cryptografische sleutels die zijn gekoppeld aan het domein van een website, waardoor het vrijwel onmogelijk wordt om inlogprocessen te repliceren via valse domeinen of tussenliggende servers.

Toch blijkt uit de analyse dat het gebruik van WebAuthn nog beperkt is. Cisco Talos adviseert daarom dat organisaties MFA niet langer moeten zien als een statische maatregel, maar als onderdeel van een bredere, voortdurend aanpasbare beveiligingsaanpak. Dit omvat niet alleen robuustere authenticatiemethoden, maar ook bredere maatregelen zoals netwerkmonitoring, AI-ondersteunde dreigingsdetectie en een Zero Trust-architectuur.

“Jarenlang gold multi-factor authenticatie als een van de meest effectieve verdedigingslinies tegen phishing, maar inmiddels zien we dat deze maatregel zijn grenzen heeft bereikt,” aldus Jan Heijdra, Field CTO bij Cisco Nederland. “Cybercriminelen passen hun tactieken razendsnel aan. Het gebruik van technieken zoals adversary-in-the-middle-aanvallen en kant-en-klare phishingplatforms onderstreept de noodzaak voor een bredere, contextbewuste beveiligingsstrategie. Alleen door moderne technologieën te combineren met een Zero Trust-aanpak kunnen we digitale identiteiten écht beschermen.”