Wie zit er tussen jou en je wachtwoord? De gevaren van AitM phishing onthuld

De wereld van cyberdreigingen verandert voortdurend en wordt steeds geavanceerder. Een van de nieuwste en gevaarlijkste vormen van phishing is de Adversary-in-the-Middle (AitM) techniek. Deze aanvalsmethode richt zich niet alleen op het misleiden van gebruikers, maar maakt gebruik van geavanceerde technieken om inloggegevens, sessie informatie en zelfs multifactor authenticatiecodes te onderscheppen. In dit artikel onderzoeken we hoe AitM phishing werkt, welke impact het heeft op bedrijven en hoe organisaties zich kunnen beschermen tegen deze dreiging. Daarnaast wordt de rol van Phishing-as-a-Service (PhaaS) besproken, die het voor cybercriminelen gemakkelijker maakt om dergelijke aanvallen uit te voeren.

Wat is AitM phishing en hoe werkt het?

AitM phishing is een geavanceerde vorm van phishing waarbij de aanvaller zich tussen de gebruiker en een legitieme service plaatst. In plaats van een nepwebsite te gebruiken om inloggegevens te stelen, fungeert de aanvaller als tussenpersoon die de communicatie tussen de gebruiker en de echte service onderschept. Wanneer de gebruiker hun inloggegevens en MFA codes invoert op de phishingpagina, worden deze gegevens in real time doorgestuurd naar de echte service. De aanvaller vangt vervolgens de sessiecookie op die wordt teruggestuurd door de service, waardoor ze toegang krijgen tot de account van de gebruiker zonder verdere authenticatie.

Wat deze techniek bijzonder gevaarlijk maakt, is dat de gebruiker vaak niet doorheeft dat ze slachtoffer zijn van een aanval. De nep pagina ziet eruit als de echte inlogpagina van bijvoorbeeld Microsoft 365 of Google, en de gebruiker voert gewoon hun gegevens in zoals ze dat normaal zouden doen. Pas later, wanneer de aanvaller de sessie overneemt, worden de gevolgen zichtbaar. Dit maakt AitM phishing moeilijker te detecteren dan traditionele phishingaanvallen.

De rol van Phishing-as-a-Service in AitM aanvallen

Phishing-as-a-Service (PhaaS) is een model dat de toegang tot geavanceerde phishingtechnieken vergemakkelijkt voor cybercriminelen, inclusief degenen zonder diepgaande technische kennis. PhaaS biedt kant en klare phishingkits aan, die vaak worden verkocht via privékanalen zoals Telegram. Deze kits bieden alles wat nodig is voor een succesvolle AitM aanval, van phishingpagina’s en reverse proxies tot anti bottechnologieën die helpen de aanval te verbergen voor detectiesystemen.

Het PhaaS model verlaagt de drempel voor cybercriminelen om AitM phishing uit te voeren. Voor een maandelijks abonnement kunnen zij eenvoudig gebruik maken van professionele aanvalsinfrastructuren en tools die normaliter alleen beschikbaar zouden zijn voor gevorderde hackers. Deze diensten worden vaak verkocht via een abonnement, waarbij prijzen variëren van $100 tot $1000 per maand, afhankelijk van de functionaliteit en de mate van ondersteuning die geboden wordt.

Deze schaalbaarheid heeft geresulteerd in een explosie van AitM aanvallen, aangezien cybercriminelen zonder uitgebreide technische kennis snel toegang kunnen krijgen tot geavanceerde aanvallen. De beschikbaarheid van Phishing-as-a-Service heeft AitM phishing veel toegankelijker gemaakt, waardoor het voor een bredere groep aanvallers mogelijk is geworden om deze technieken toe te passen.

Veelvoorkomende technieken en kits in AitM phishing

De technologische basis van AitM phishing wordt vaak geleverd door verschillende phishingkits die beschikbaar zijn op de PhaaS markt. Enkele van de bekendste kits zijn Tycoon 2FA, EvilProxy, Storm-1167 en NakedPages. Elk van deze kits maakt gebruik van geavanceerde technieken om de gebruiker te misleiden en hun gegevens te stelen.

Een van de meest gebruikte technieken is het gebruik van reverse proxyservers. Deze servers fungeren als tussenpersoon, waardoor de aanvaller in staat is om de communicatie tussen de gebruiker en de legitieme website te onderscheppen en door te sturen. Het gebruik van een reverse proxy maakt de aanval moeilijker te detecteren, omdat de gebruiker nog steeds denkt dat ze communiceren met de echte website.

Daarnaast maken veel van deze phishingkits gebruik van anti bottechnologieën zoals CAPTCHA pagina’s, die ontworpen zijn om geautomatiseerde scanners te blokkeren. Dit helpt de aanvaller om hun phishingpagina’s onopgemerkt te laten blijven, zelfs wanneer ze worden gecontroleerd door automatische beveiligingssystemen. Sommige kits, zoals EvilProxy, maken gebruik van aangepaste reCAPTCHA pagina’s, terwijl andere, zoals Tycoon 2FA, een geheel eigen anti botsysteem implementeren.

De kits bieden ook de mogelijkheid om sessies in real time over te nemen door gegevens direct door te sturen naar de legitieme service, wat de aanval nog moeilijker te detecteren maakt. De verscheidenheid aan beschikbare technieken en kits maakt het voor aanvallers gemakkelijker dan ooit om succesvolle AitM phishingcampagnes uit te voeren.

Gevolgen van AitM phishing en hoe organisaties zich kunnen beschermen

De gevolgen van een succesvolle AitM phishingaanval kunnen ernstig zijn. Wanneer aanvallers toegang krijgen tot een Microsoft 365 account of een andere cloudgebaseerde service, kunnen ze toegang krijgen tot bedrijfsgevoelige informatie zoals emails, documenten en zelfs interne communicatie. Dit opent de deur naar Business Email Compromise (BEC), waarbij aanvallers zich voordoen als medewerkers om frauduleuze financiële transacties te initiëren, valse facturen te versturen of vertrouwelijke informatie te stelen.

In sommige gevallen kunnen AitM aanvallen ook worden gebruikt om ransomware te verspreiden, doordat aanvallers toegang krijgen tot een netwerk via een gehackt account en vervolgens malware installeren. Dit kan leiden tot bedrijfsstilstand, aanzienlijke financiële verliezen en reputatieschade. Het herstel van een dergelijke aanval kan dagen of zelfs weken duren, met een enorme kostenpost voor het getroffen bedrijf.

De bescherming tegen AitM phishing vereist een gelaagde beveiligingsaanpak. Een belangrijke verdedigingslinie is het gebruik van multifactor authenticatie (MFA), maar zelfs dit is niet altijd voldoende, omdat AitM aanvallen gericht zijn op het onderscheppen van MFA codes. Daarom is het essentieel om aanvullende beveiligingsmaatregelen te implementeren, zoals het monitoren van authenticatielogs en het analyseren van netwerkverkeer op verdachte activiteiten.

Daarnaast moeten bedrijven hun medewerkers bewust maken van de risico’s van phishing en de specifieke tactieken die door cybercriminelen worden gebruikt. Het trainen van personeel om phishingpogingen te herkennen is essentieel om het risico op succes van deze aanvallen te verkleinen. Ook het versterken van emailbeveiliging, zoals het implementeren van anti phishingtechnologieën en het blokkeren van verdachte bijlagen, kan helpen om AitM aanvallen te voorkomen.

De toekomst van AitM phishing en verdedigingstechnieken

De toekomst van AitM phishing ziet er zorgwekkend uit, vooral gezien de voortdurende evolutie van phishingtechnieken en de steeds professionelere phishingdiensten die beschikbaar komen. De opkomst van Phishing-as-a-Service heeft de dreiging versterkt, aangezien het cybercriminelen met beperkte technische vaardigheden mogelijk maakt om geavanceerde aanvallen uit te voeren.

Om deze dreiging het hoofd te bieden, moeten organisaties zich blijven aanpassen aan de nieuwste beveiligingsstandaarden en technologieën. Het gebruik van geavanceerde machine learning modellen voor het detecteren van verdachte activiteiten, evenals het versterken van de algehele netwerkbeveiliging, zal essentieel zijn om de impact van AitM phishing aanvallen te beperken.

Daarnaast is samenwerking tussen bedrijven en beveiligingsprofessionals cruciaal voor het identificeren van nieuwe aanvalsmethoden en het delen van informatie over opkomende dreigingen. Een gezamenlijke aanpak kan helpen om AitM phishing in de toekomst te bestrijden en te voorkomen dat cybercriminelen deze krachtige aanvalstechniek gebruiken voor financiële winst en schade aan de reputatie van bedrijven.

Heb je advies of hulp nodig? Digiweerbaar.nl

Wat is?

• AitM phishing (Adversary-in-the-Middle phishing):
  Wat is? AitM phishing is een type cyberaanval waarbij de aanvaller zich tussen de gebruiker en een legitieme website plaatst om gegevens zoals wachtwoorden en MFA-codes te onderscheppen en te stelen, zonder dat de gebruiker het door heeft.

• Phishing-as-a-Service (PhaaS):
  Wat is? Phishing-as-a-Service is een model waarbij cybercriminelen kant enklare phishingkits huren of kopen om snel en eenvoudig phishingaanvallen uit te voeren. Dit verlaagt de technische drempel voor aanvallers, zodat ze zonder veel kennis geavanceerde aanvallen kunnen uitvoeren.

• Reverse proxy:
  Wat is? Een reverse proxy is een server die als tussenpersoon fungeert tussen een gebruiker en de server van een website. In AitM phishing gebruikt de aanvaller een reverse proxy om de communicatie van de gebruiker door te sturen naar de echte website, terwijl de aanvaller in staat is om de gegevens van de gebruiker te onderscheppen.

• Multi Factor Authentication (MFA):
  Wat is? MFA is een beveiligingsmaatregel waarbij de gebruiker twee of meer manieren moet gebruiken om zichzelf te identificeren bij het inloggen, bijvoorbeeld een wachtwoord en een vingerafdruk. AitM phishing kan MFA omzeilen door de sessie van de gebruiker over te nemen.

• Business Email Compromise (BEC):
  Wat is? BEC is een type cyberaanval waarbij aanvallers zich voordoen als een medewerker binnen een bedrijf en proberen financiële fraude te plegen, bijvoorbeeld door valse facturen te sturen of geld over te maken naar hun eigen rekening.

• Reverse proxyservers:
  Wat is? Dit zijn servers die de verzoeken van gebruikers ontvangen en deze doorsturen naar de echte server. In de context van AitM phishing worden ze gebruikt om de aanvaller tussen de gebruiker en de echte website te plaatsen, waardoor de aanvaller gegevens kan onderscheppen.

• CAPTCHA:
  Wat is? CAPTCHA is een beveiligingsmaatregel die ervoor zorgt dat een gebruiker geen automatische software (bot) is. Het toont vaak een test, zoals het herkennen van vervormde letters of cijfers. Phishingkits gebruiken CAPTCHA pagina’s om te voorkomen dat beveiligingssoftware hun nepwebsites detecteert.

• MFA bypass:
  Wat is? MFA bypass verwijst naar technieken die worden gebruikt om de extra beveiliging van multi-factor authenticatie te omzeilen. AitM phishing-aanvallen kunnen MFA bypass gebruiken om toegang te krijgen tot accounts zonder dat de gebruiker aanvullende beveiligingsmaatregelen hoeft te nemen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Meer recente artikelen van Cybercrimeinfo