Uit een analyse van Cisco Talos blijkt dat multi-factor authenticatie niet langer de ondoordringbare verdedigingslinie is het ooit was. Hoewel MFA lange tijd werd gezien als een van de meest effectieve en betaalbare methoden om phishingaanvallen tegen te gaan, constateren de onderzoekers van Cisco Talos dat cybercriminelen nieuwe methoden hebben ontwikkeld om deze beveiligingslaag te omzeilen. De verschuiving in aanvalstactieken vraagt volgens Cisco om een herziening van de bestaande beveiligingsstrategieën binnen organisaties.
De onderzoekers van Cisco Talos signaleren onder meer een duidelijke toename van zogeheten adversary-in-the-middle-aanvallen. Hierbij maken aanvallers geen gebruik meer van traditionele phishingpagina’s, maar zetten ze reverse proxy-servers in die een directe verbinding opzetten met de echte inlogpagina van een dienst. Voor de gebruiker lijkt er in eerste instantie niets ongebruikelijks aan de hand, men logt in zoals gewoonlijk en bevestigt de MFA-verificatie. Wat de gebruiker echter niet ziet, is dat de communicatie via de server van de aanvaller verloopt. Op die manier kunnen cybercriminelen niet alleen inloggegevens onderscheppen, maar ook de bijbehorende sessiecookie. Daarmee verkrijgen zij volledige toegang tot de actieve sessie, zonder verdere tussenkomst van de gebruiker.
Een tweede ontwikkeling die Cisco Talos ziet, is de groeiende beschikbaarheid van zogenoemde Phishing-as-a-Service-platforms. Deze kant-en-klare toolkits, zoals Evilproxy en Tycoon 2FA, stellen aanvallers in staat om zonder diepgaande technische kennis geavanceerde aanvallen op te zetten. Ze bevatten onder andere templates voor populaire diensten, filters voor IP-adressen en user agents en technieken om detectie door beveiligingssoftware te omzeilen. Het gevolg is dat steeds meer cybercriminelen hierdoor in staat zijn om professionele en grootschalige phishingcampagnes uit te voeren.
Webauthn
Daarnaast blijkt uit de analyse dat traditionele securitymaatregelen, zoals spamfilters en cyberawareness-trainingen, steeds minder effectief blijken in het tegenhouden van deze nieuwe aanvalsvormen. Zelfs combinaties van wachtwoorden en pushmeldingen, een MFA-variant die veel wordt toegepast, kunnen met de juiste infrastructuur worden misbruikt. In sommige gevallen voegen aanvallers na een succesvolle inbraak zelfs extra MFA-apparaten toe aan het account, wat vaak onopgemerkt blijft en de controle over het account verder ondermijnt.
Volgens Cisco Talos is het belangrijk dat technologieën worden ingezet die bestand zijn tegen geavanceerde phishingtactieken, zoals WebAuthn, een gestandaardiseerde, wachtwoordloze vorm van authenticatie op basis van publieke cryptografie. Deze methode werkt met cryptografische sleutels die zijn gekoppeld aan het domein van een website. Hierdoor wordt het vrijwel onmogelijk om inlogprocessen te repliceren via valse domeinen of tussenliggende servers. Volgens het bedrijf wordt hier nog te weinig gebruik van gemaakt.
