Bijna 50% van alle securityincidenten houdt verband met multi-factor authenticatie (MFA). In 25% van de gevallen was de oorzaak dat gebruikers frauduleuze MFA-pushmeldingen accepteerden die door aanvallers waren verzonden. Dat blijkt uit een onderzoek van Cisco Duo.
Volgens Cisco Duo is er de afgelopen jaren veel vooruitgang geboekt door organisaties bij de implementatie van MFA. MFA heeft significant bijgedragen aan het verminderen van de effectiviteit van traditionele aanvallen zoals credential stuffing en password spraying.
Dit is dan ook volgens Cisco Duo een belangrijke reden waarom cybercriminelen zich nu zo sterk richten op MFA – het vormt een aanzienlijke barrière voor hun doelen. De meest voorkomende pogingen om MFA te omzeilen zijn volgens de onderzoekers MFA-pushaanvallen. Hierbij verkrijgen cybercriminelen toegang tot het wachtwoord en sturen ze herhaaldelijk pushmeldingen naar het MFA-apparaat van de gebruiker, in de hoop dat deze uiteindelijk wordt geaccepteerd.
Uit een dataset van 15.000 geregistreerde push-aanvallen (van juni 2023 tot mei 2024) blijkt dat 5% van de verzonden push-aanvallen door gebruikers werd geaccepteerd.
Naast push-aanvallen hebben de onderzoekers ook andere creatieve manieren waargenomen waarop cybercriminelen MFA omzeilen. Deze methoden omvatten het gebruik van gestolen authenticatietokens, social engineering van de IT-afdeling om nieuwe MFA-apparaten toe te voegen, het infiltreren van freelancers om hun telefoonnummer te wijzigen, het verkrijgen van admin-rechten door het binnendringen in een enkel endpoint en het deactiveren van MFA-software, evenals het overtuigen van medewerkers om op frauduleuze MFA-pushmeldingen te klikken.
“Het is goed dat organisaties MFA gebruiken, maar dan moeten ze het wel op de juiste manier implementeren,” benadrukt Jan Heijdra, Field CTO Security bij Cisco Nederland. “Zorg ervoor dat nummer-matching is ingeschakeld in MFA-applicaties, rol MFA uit voor alle kritieke diensten, inclusief remote access en identiteits- en toegangsbeheer (IAM), en stel meldingen in voor single-factor authenticatie om potentiële kwetsbaarheden snel te identificeren. Het is daarnaast essentieel medewerkers te trainen in het herkennen van social engineering en om bewustzijn te creëren rondom MFA-aanvallen. Daarnaast moeten organisaties een toegangsbeleid definiëren voor systemen waar MFA niet kan worden toegepast.”
