English | Français | Deutsche | Español | Meer talen
Zoals u wellicht weet, staat MFA voor “Multi Factor Authenticatie”. Dit betekent dat als u inlogt op bijvoorbeeld de omgeving van Microsoft er naast uw gebruikersnaam en wachtwoord nog een code (die bijvoorbeeld op uw telefoon wordt gegenereerd) moet worden ingevuld, of dat u een inlogpoging moet goedkeuren via een app op uw smartphone. Dit laatste gebruiken de meeste gebruikers als ze MFA hebben ingesteld voor hun Microsoft account.
Gestolen inloggegevens
Het gebeurt helaas regelmatig dat gebruikersnamen en wachtwoorden in handen vallen van hackers. Dit kan bijvoorbeeld komen doordat een gebruiker een phishingmail heeft ontvangen en dat de gebruiker vervolgens op een nagemaakte website (welke vaak nauwelijks te onderscheiden is van de echte website) zijn of haar inloggegevens heeft achtergelaten.
MFA Bombing
Omdat tegenwoordig gelukkig veel gebruikers gebruikmaken van MFA, zijn hackers vaak niet in staat om toegang te krijgen tot accounts van gebruikers waarvan zij de inloggegevens in handen hebben gekregen. Echter hebben de hackers daar iets op gevonden: “MFA Bombing”.
Bij “MFA Bombing” logt een hacker op verschillende momenten in met de gestolen inloggegevens (gebruikersnaam en wachtwoord). Dit zorgt ervoor dat gebruikers op willekeurige momenten meldingen op hun telefoon krijgen dat een inlogsessie goedgekeurd moet worden. Het blijkt dat als mensen een dergelijke melding krijgen (zonder dat men weet of dit een legitieme inlogpoging is), men heel vaak klikt op “goedkeuren”, met als gevolg dat ondanks dat MFA is ingesteld, hackers alsnog toegang krijgen tot allerlei vertrouwelijke informatie.
CEO-fraude
Misschien denkt u nu: “Maar wat als een hacker toegang heeft tot mijn mailbox of Microsoft omgeving? Bij mij valt toch niets te halen?” Helaas blijkt in de praktijk het tegenovergestelde. Een hacker kan forse schade aan uw eigen organisatie toebrengen, maar ook aan uw relaties (zoals leveranciers of klanten).
We komen op onze servicedesk met regelmaat situaties tegen dat er vanuit gehackte mailboxen e-mailverkeer plaatsvindt. Namens de organisatie van de gehackte mailbox worden dan bijvoorbeeld facturen verstuurd met andere rekeningnummers. Hiervan worden relaties van de gehackte organisatie vervolgens de dupe. En omdat het mailverkeer echt bij de gehackte organisatie vandaan komt, is deze vorm van phishing (CEO-fraude) bijzonder lastig te herkennen.
Conclusie
Bovenstaande is slechts één voorbeeld van de impact van een gehackt Microsoft account. Er zijn nog veel meer andere voorbeelden te geven. U wilt hier echt geen slachtoffer van worden. Informeer daarom vandaag nog uw medewerkers en leg ze uit dat ze echt alleen op “goedkeuren” klikken in de Microsoft Authenticator (of andere) app als ze er zeker van zijn dat het om een legitieme aanmelding gaat. En bij twijfel, kies dan altijd voor “weigeren”!
Daarbij is het goed om te weten dat:
- Als u één keer teveel op “weigeren” heeft gedrukt er niets aan de hand is. U logt gewoon opnieuw in en u krijgt dan alsnog de melding om goed te keuren.
- Als u één keer teveel op “goedkeuren” heeft gedrukt u een hacker toegang geeft tot uw omgeving, waarvan de gevolgen en schade groot kunnen zijn!
Bron: Rijk Prosman
Meer actueel nieuws
Phishing van eigen kredietbank, Ivanti Sentry misbruikt
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 11 en vrijdag 12 juni. Cliënten van Kredietbank Limburg kregen phishingmails die werkelijk van hun eigen kredietbank kwamen, het kritieke lek in Ivanti Sentry ging in één dag van een waarschuwing van het NCSC naar bevestigd misbruik met een spoeddeadline van CISA, en een internationale politieactie ontmantelde de witwasdienst AudiA6 die ruim 380 miljoen dollar aan criminele opbrengsten verwerkte. Daarnaast bevestigt een universiteit 454.600 getroffen studenten in de PeopleSoft campagne van ShinyHunters, en toont onderzoek van Anthropic dat AI de tijd tussen patch en werkende exploit terugbrengt van weken naar uren. We lopen het thema voor thema langs.
Check Point VPN met Qilin, phishing bij Vlaamse hotels
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 9 en woensdag 10 juni. Een kritiek lek in de VPN van Check Point wordt actief misbruikt en mondt in minstens één geval uit in Qilin ransomware, bijna honderd Vlaamse hotels worden getroffen door phishing met betaalverzoeken die tot in detail kloppen, en een internationale politieactie haalt de criminele dienst First VPN offline. Daarnaast zien we een recordronde patches van Microsoft, een autonome agent die eigenhandig kwetsbaarheden vindt, en aanvallers die zich steeds vaker richten op de mensen die software bouwen. We lopen het thema voor thema langs.
Pink kaapt Microsoft 365 via telefoon, datalek Epe
In deze aflevering van het Cyber Journaal kijken we terug op het weekend van zaterdag 6 tot en met maandag 8 juni. Een nieuwe afpersgroep steelt bedrijfsdata uit Microsoft 365 zonder ook maar één regel malware, een Nederlandse gemeente verloor honderden gigabytes aan persoonsgegevens en boven Europa lijkt een Russische satelliet het navigatiesignaal te verstoren. Daarnaast zien we beveiligingssoftware die blijft draaien maar stilvalt, een reeks actief misbruikte kwetsbaarheden in netwerkapparatuur, en flinke resultaten in de opsporing. We lopen het thema voor thema langs.
Verdachte gezocht na babbeltruc bij 76-jarige in Rotterdam
Een 76-jarige Rotterdammer raakte zijn bankpas en pincode kwijt nadat oplichters zich voordeden als zijn bank en als de politie. De politie zoekt de man die daarna met de pinpas geld opnam en op camerabeelden staat.
Mailboxspionage en Cisco SD-WAN actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van donderdag 4 en vrijdag 5 juni centraal. Aanvallers lazen vijf maanden lang ongezien mee in de mailbox van een beursdirecteur en sluisden de inhoud weg via vertrouwde clouddiensten. In Nederland en België blijven hotelgasten en bankklanten doelwit van fraude die naadloos aansluit op de werkelijkheid. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden kwetsbaarheden in netwerkapparatuur en WordPress actief misbruikt, en zien we beweging in opsporing, spionage en het beleid rond digitale soevereiniteit. We lopen het thema voor thema langs.
Datalek hotelsector, Windows NETLOGON actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van dinsdag 2 en woensdag 3 juni centraal. Koninklijke Horeca Nederland waarschuwt voor een breed datalek in de hotelsector, waarbij gestolen reserveringsgegevens gasten bereiken via geloofwaardige phishing. In Den Bosch onderzoekt de overheid een mogelijk datalek bij de gevangenis van Vught dat niet door een hack ontstond, maar door een overgeslagen procedure. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden twee kritieke lekken in Windows en Android actief misbruikt, en zien we beweging in opsporing, hacktivisme en spionage. We lopen het thema voor thema langs.