Tip van de Week: Wees waakzaam bij onverwachte MFA-verzoeken

Gepubliceerd op 22 december 2023 om 15:00

EN: Click here and choose your language using Google's translation bar at the top of this page ↑

In onze steeds meer verbonden wereld zijn cyberaanvallen een dagelijkse realiteit geworden. Een van de meest voorkomende tekenen dat u het doelwit bent geworden, is het ontvangen van ongevraagde eenmalige wachtwoorden (OTP's), zoals die van multi-factor authenticatie (MFA). Dit kan erop wijzen dat uw inloggegevens zijn gestolen.

Wat zijn OTP's en MFA ook al weer?

OTP staat voor One-Time Password. Dit is een wachtwoord dat slechts één keer wordt gebruikt en daarna niet meer geldig is. OTP’s worden vaak gebruikt als een extra beveiligingslaag in een authenticatieproces. Ze worden bijvoorbeeld naar je mobiele telefoon gestuurd via een sms of gegenereerd door een authenticatie-app. Het idee is dat zelfs als iemand je gebruikersnaam en wachtwoord kent, ze nog steeds geen toegang hebben tot je account zonder het OTP.

MFA staat voor Multi-Factor Authenticatie. Dit is een beveiligingsproces waarbij je meerdere vormen van identificatie moet verstrekken om toegang te krijgen tot een account of systeem. Deze factoren kunnen iets zijn dat je weet (zoals een wachtwoord), iets dat je hebt (zoals een mobiele telefoon waarop een OTP kan worden ontvangen) of iets dat je bent (zoals een vingerafdruk of gezichtsherkenning). Het idee achter MFA is dat het veel moeilijker is voor een aanvaller om toegang te krijgen tot je account, omdat ze meerdere factoren moeten compromitteren in plaats van slechts één.

Het gevaar van ongevraagde OTP's en de basis van MFA

Cybercriminelen stelen legitieme inloggegevens via verschillende methoden zoals phishing-aanvallen, het gebruik van malware of sociale manipulatie. Deze gestolen gegevens kunnen worden gebruikt voor data-inbraak, spionage, ransomware-aanvallen of financiële fraude.

Interessant is dat MFA, een beveiligingsfunctie die door veel bedrijven wordt aangeboden, een extra verificatielaag toevoegt. Wanneer MFA is geconfigureerd, moet u naast uw wachtwoord een tweede vorm van verificatie invoeren, zoals een code die per e-mail of sms wordt verzonden, of een hardware-beveiligingssleutel.

Recent ontvingen een vriend en een familielid van mij elk een sms van Amazon met een MFA OTP. Het belangrijke detail hier is dat ze niet hadden geprobeerd in te loggen op hun Amazon-accounts. Dit betekende dat iemand anders hun inloggegevens probeerde te gebruiken. Dankzij de twee-factorverificatie kon de inbreker echter niet verder.

In dergelijke situaties is het cruciaal om uw wachtwoord onmiddellijk te wijzigen en dit ook te doen voor andere accounts waar u hetzelfde wachtwoord gebruikt. Ondanks de bescherming die 2FA biedt, is het een vals gevoel van veiligheid om niet van wachtwoord te veranderen, aangezien er manieren zijn om MFA te omzeilen.

Een bijzonder risico bij SMS- en e-mailgebaseerde 2FA is dat als iemand toegang krijgt tot uw e-mail of telefoonnummer, bijvoorbeeld via een SIM-swapping-aanval, zij ook uw OTP-codes kunnen ontvangen en uw wachtwoord kunnen resetten zonder dat u het merkt.

SIM-swapping is een techniek waarbij de aanvaller uw telefoonnummer overneemt op een SIM-kaart die zij beheren. Dit wordt vaak bereikt door sociale manipulatie of door samen te werken met een insider bij uw mobiele provider. Met controle over uw telefoonnummer kan de aanvaller SMS-gebaseerde codes ontvangen die nodig zijn voor 2FA.

De Lapsus$ hackersgroep, bekend om hun aanvallen op grote bedrijven zoals Microsoft, Cisco en Nvidia, gebruikte deze techniek om toegang te krijgen tot bedrijfsnetwerken en vertrouwelijke informatie te stelen. Deze groep, bestaande uit voornamelijk tieners, heeft laten zien dat zelfs organisaties met sterke beveiligingsmaatregelen kwetsbaar zijn voor dergelijke aanvallen.

Lapsus$ en de kwetsbaarheid van sterke beveiligingssystemen

Het verhaal van Lapsus$ onderstreept het belang van robuuste cyberbeveiliging. Deze groep jonge hackers wist via SIM-swapping en andere technieken toegang te krijgen tot de interne netwerken van verschillende toonaangevende bedrijven. Door de telefoonnummers van slachtoffers over te zetten naar hun eigen SIM-kaarten, konden ze de SMS-codes voor twee-factor authenticatie ontvangen. Dit toont aan hoe cruciaal het is om sterke beveiligingsmaatregelen te hebben.

Een SIM-swapping aanval begint vaak met sociale manipulatie. Hackers kunnen zich voordoen als de legitieme eigenaar van een telefoonnummer en de mobiele provider misleiden om het nummer over te zetten naar een nieuwe SIM-kaart die zij beheren. In sommige gevallen maken ze zelfs gebruik van insiders binnen telecommunicatiebedrijven. Zodra ze controle hebben over het telefoonnummer, kunnen ze toegang krijgen tot allerlei accounts die beveiligd zijn met SMS-gebaseerde 2FA.

Lapsus$ gebruikte ook frauduleuze noodinformatieaanvragen (EDR's) om persoonlijke informatie van hun doelwitten te verzamelen. Deze aanvallen werden vaak versterkt door samenwerking met insiders in bedrijven, waardoor ze extra toegang en mogelijkheden kregen om beveiligingssystemen te omzeilen.

Opmerkelijk is dat de aanvallen van Lapsus$ niet altijd succesvol waren. Ze faalden in omgevingen waar robuuste netwerkinbraakdetectiesystemen en token- of applicatiegebaseerde multi-factor authenticatie werden gebruikt. Dit benadrukt het belang van geavanceerde beveiligingsmaatregelen en de noodzaak om SMS-gebaseerde authenticatie te vermijden.

Het U.S. Department of Homeland Security Cyber Safety Review Board (CSRB) benadrukt in hun rapport dat de meeste organisaties niet voorbereid waren op aanvallen zoals die van Lapsus$. Ze raden aan om over te stappen op een wachtwoordloze omgeving met veilige identiteits- en toegangsbeheeroplossingen en het gebruik van SMS als twee-staps verificatiemethode te vermijden. Ook wordt geadviseerd om de effectiviteit van sociale manipulatie te verminderen door robuuste authenticatiecapaciteiten te implementeren die bestand zijn tegen MFA-phishing.

In reactie op hun aanvallen heeft Lapsus$ een periode van stilte ingelast, waarschijnlijk vanwege politieonderzoeken die hebben geleid tot de arrestatie van verschillende leden van de groep. Dit toont aan dat, hoewel deze groepen tijdelijk kunnen worden vertraagd, de dreiging van cyberaanvallen een voortdurende zorg blijft.

Van SMS-2FA tot robuuste beveiliging: Evolueer uw strategieën

De lessen die we kunnen trekken uit de acties van Lapsus$ en andere soortgelijke cyberaanvallen zijn van cruciaal belang. Allereerst toont het de kwetsbaarheid aan van SMS- en e-mailgebaseerde twee-factor authenticatie (2FA). Hoewel deze methoden extra bescherming bieden, zijn ze niet ondoordringbaar. Aanvallers kunnen technieken zoals SIM-swapping gebruiken om toegang te krijgen tot deze codes, waardoor ze in staat zijn om accounts te kapen. Daarom is het van essentieel belang dat zowel individuen als organisaties overstappen op veiligere vormen van MFA, zoals authenticatie-apps, hardwarebeveiligingssleutels of passkeys, die een fysieke aanwezigheid of actie vereisen van de gebruiker.

Het gebruik van sterke, unieke wachtwoorden voor elk account is ook een belangrijke stap. Veel mensen gebruiken hetzelfde wachtwoord voor meerdere accounts, wat betekent dat als één account wordt gecompromitteerd, alle andere accounts met hetzelfde wachtwoord ook in gevaar zijn. Wachtwoordmanagers kunnen hierbij helpen door sterke, unieke wachtwoorden te genereren en veilig op te slaan, zodat u zich niet elk wachtwoord hoeft te herinneren.

Een ander belangrijk aspect is bewustwording en opleiding. Zowel werknemers van bedrijven als gewone gebruikers moeten worden opgeleid over de risico's van cyberaanvallen en de beste praktijken om zich te beschermen. Dit omvat het herkennen van phishing-pogingen, het vermijden van het delen van persoonlijke informatie, en het begrijpen van de waarde van sterke beveiligingsmaatregelen.

Organisaties moeten ook proactief zijn in het beschermen van hun netwerken. Dit omvat het regelmatig bijwerken van software om bekende kwetsbaarheden te patchen, het implementeren van robuuste netwerkinbraakdetectiesystemen, en het overwegen van een zero-trust beveiligingsmodel. In een zero-trust model wordt niets binnen of buiten het netwerk vertrouwd zonder verificatie, waardoor de bewegingsruimte van aanvallers aanzienlijk wordt beperkt.

Tot slot is samenwerking met wetshandhavingsinstanties van cruciaal belang. Door incidenten snel te melden en samen te werken met de autoriteiten, kunnen bedrijven helpen bij het opsporen en aanpakken van cybercriminelen. Dit helpt niet alleen bij het beschermen van hun eigen netwerken, maar draagt ook bij aan een veiliger cyberspace voor iedereen.

Cybercriminaliteit blijft een groeiende dreiging in onze digitale wereld. Door het nemen van de juiste maatregelen kunnen we echter stappen zetten naar een veiligere online omgeving. Het is de verantwoordelijkheid van iedereen - individuen, bedrijven en overheden - om deel te nemen aan deze strijd tegen cyberaanvallen.

De rol van insiders en de noodzaak van continue waakzaamheid

Een integraal onderdeel van de strijd tegen cybercriminaliteit is het begrijpen van de dynamiek van cyberaanvallen en de motieven van de aanvallers. Lapsus$, hoewel voornamelijk bestaande uit tieners, toonde aan dat leeftijd of traditionele structuren geen barrières zijn voor het uitvoeren van geavanceerde cyberaanvallen. Hun acties, gedreven door notoriëteit, financieel gewin, of soms gewoon voor de lol, onthullen een zorgwekkende trend waarbij de drempel voor het uitvoeren van effectieve cyberaanvallen steeds lager wordt.

Dit roept de noodzaak op voor een voortdurende evolutie in cyberbeveiligingsstrategieën. Het is niet langer voldoende om te vertrouwen op verouderde methoden en technologieën. Cyberbeveiliging moet dynamisch en adaptief zijn, in staat om zich snel aan te passen aan nieuwe bedreigingen. Dit vereist investeringen in de nieuwste beveiligingstechnologieën en -methodes, evenals een cultuur van continue waakzaamheid en verbetering binnen organisaties.

Een belangrijke les uit de Lapsus$-aanvallen is de kwetsbaarheid van binnenin. De groep maakte vaak gebruik van insiders binnen bedrijven of hun netwerk van contacten bij telecommunicatieproviders. Dit benadrukt het belang van rigoureuze achtergrondcontroles, continue monitoring en de noodzaak van strikte toegangscontroles binnen organisaties. Het is essentieel dat bedrijven hun eigen personeel als mogelijke risicofactoren zien en passende maatregelen nemen om intern misbruik te voorkomen.

Daarnaast is het cruciaal om incidenten snel te rapporteren. Snelle melding kan het verschil betekenen tussen een beperkte inbreuk en een catastrofale datalek. Dit vereist niet alleen technologische oplossingen, maar ook een bedrijfscultuur waarin medewerkers zich comfortabel voelen bij het melden van verdachte activiteiten zonder angst voor repercussies.

Het verhaal van Lapsus$ benadrukt ook het belang van internationale samenwerking in de strijd tegen cybercriminaliteit. De groep had leden in verschillende landen, wat de complexiteit van het opsporen en vervolgen van cybercriminelen vergroot. Effectieve samenwerking tussen wetshandhavingsinstanties over de hele wereld is cruciaal om dergelijke grensoverschrijdende cybercriminaliteit aan te pakken.

Tot slot moeten we ons realiseren dat cyberbeveiliging niet alleen de verantwoordelijkheid is van IT-afdelingen of beveiligingsteams. Het is een gedeelde verantwoordelijkheid van iedereen in de organisatie en van individuele gebruikers van technologie. Door ons bewust te zijn van de risico's en proactief maatregelen te nemen om onszelf te beschermen, kunnen we een belangrijke rol spelen in het verkleinen van het risico op cyberaanvallen.

Samen sterker tegen cyberdreigingen: Een oproep tot actie

In de hedendaagse digitale wereld is cybercriminaliteit een onvermijdelijke realiteit. De activiteiten van groepen zoals Lapsus$ tonen aan dat cyberaanvallen niet alleen geavanceerd en gesofisticeerd kunnen zijn, maar ook verrassend eenvoudig en doeltreffend, vooral wanneer ze gericht zijn op zwakke punten in beveiligingssystemen en menselijke fouten. De diversiteit in hun aanvalsmethoden, variërend van SIM-swapping tot het inzetten van insiders, onderstreept de noodzaak van een alomvattende en gelaagde beveiligingsaanpak.

De belangrijkste les die we hieruit kunnen trekken, is dat beveiliging een voortdurende inspanning vereist. Het omvat niet alleen technologie, maar ook bewustwording, opleiding en bedrijfscultuur. Een proactieve houding ten aanzien van cyberbeveiliging - zowel op persoonlijk als op organisatorisch niveau - is cruciaal. Dit houdt in dat u altijd alert blijft, regelmatig uw beveiligingspraktijken evalueert en verbetert, en een cultuur van veiligheidsbewustzijn binnen uw organisatie bevordert.

Voor individuen betekent dit het gebruik van sterke, unieke wachtwoorden, het vermijden van het hergebruik van wachtwoorden over verschillende platforms, en het kiezen voor geavanceerde MFA-methoden zoals authenticatie-apps of hardwarebeveiligingssleutels. Voor organisaties omvat het onder meer het implementeren van strikte toegangscontroles, regelmatige training van werknemers, en het aanmoedigen van een open en transparante cultuur waarin veiligheidsproblemen worden gemeld en aangepakt.

Het is ook belangrijk om de samenwerking met wetshandhavingsinstanties te versterken. Cybercriminaliteit kent geen grenzen, en daarom is internationale samenwerking essentieel. Door gezamenlijke inspanningen kunnen we effectiever reageren op en herstellen van cyberaanvallen en tegelijkertijd bijdragen aan een veiliger digitale wereld.

Als samenleving moeten we ons bewust zijn van de voortdurend veranderende aard van cyberdreigingen en onze strategieën dienovereenkomstig aanpassen. Cyberbeveiliging is een dynamisch veld dat constante aandacht en aanpassing vereist. Door samen te werken en onze kennis en middelen te delen, kunnen we sterker staan tegen de steeds evoluerende cyberdreigingen.

In een wereld waar technologie steeds meer verweven is met ons dagelijks leven, is het van cruciaal belang dat we allemaal onze rol spelen in het beschermen tegen cybercriminaliteit. Door waakzaam te blijven, ons te informeren en proactief te handelen, kunnen we helpen een veiligere digitale omgeving voor iedereen te creëren.

Heeft u nog vragen? Stel deze dan gerust aan onze 'AI Gids CyberWijzer'.

Alle begrippen en vormen van A tot Z.

Meer 'tip van de week' artikelen