Multi-factor authenticatie (MFA) is niet langer de sterke verdedigingslinie die het was. Hoewel MFA lange tijd werd gezien als een van de meest effectieve methoden om phishingaanvallen tegen te gaan, constateren onderzoekers van Cisco Talos dat cybercriminelen methoden ontwikkelden om deze beveiligingslaag te omzeilen.
De verschuiving in aanvalstactieken vraagt daarom om een herziening van de bestaande beveiligingsstrategieën binnen organisaties. De onderzoekers signaleren onder meer een duidelijke toename van zogeheten adversary-in-the-middle-aanvallen. Hierbij maken aanvallers geen gebruik meer van traditionele phishingpagina’s, maar zetten ze reverse proxy-servers in. Die zetten een directe verbinding op met de echte inlogpagina van een dienst.
Voor de gebruiker lijkt er in eerste instantie niets ongebruikelijks aan de hand. Die logt in zoals gewoonlijk en bevestigt de MFA-verificatie. Wat de gebruiker echter niet ziet, is dat de communicatie via de server van de aanvaller verloopt. Op die manier kunnen cybercriminelen niet alleen inloggegevens onderscheppen, maar ook de bijbehorende sessiecookie. Daarmee verkrijgen zij volledige toegang tot de actieve sessie. En dit zonder tussenkomst van de gebruiker.
Meer Phishing-as-a-Service-platforms
Een tweede ontwikkeling die Cisco Talos ziet is de groeiende beschikbaarheid van zogenoemde Phishing-as-a-Service-platforms. Deze kant-en-klare toolkits, zoals Evilproxy en Tycoon 2FA, stellen aanvallers in staat om zonder diepgaande technische kennis geavanceerde aanvallen op te zetten. Ze bevatten onder andere templates voor populaire diensten. Dit naast filters voor IP-adressen en user agents en technieken om detectie door beveiligingssoftware te omzeilen. Het gevolg is dat steeds meer cybercriminelen in staat zijn om professionele en grootschalige phishingcampagnes uit te voeren.
Daarnaast blijkt uit de analyse dat traditionele securitymaatregelen, zoals spamfilters en cyberawareness-trainingen, steeds minder effectief blijken in het tegenhouden van deze nieuwe aanvalsvormen. Zelfs combinaties van wachtwoorden en pushmeldingen, een MFA-variant die veel wordt toegepast, kunnen met de juiste infrastructuur worden misbruikt. In sommige gevallen voegen aanvallers na een succesvolle inbraak zelfs extra MFA-apparaten toe aan het account, wat vaak onopgemerkt blijft en de controle over het account verder ondermijnt.
Wachtwoordloze authenticatie
Volgens Cisco Talos is het dan ook van cruciaal belang dat organisaties zich voorbereiden op deze evoluerende dreigingen. Technologieën die bestand zijn tegen geavanceerde phishingtactieken kunnen de kans op succesvolle aanvallen aanzienlijk verkleinen. Een voorbeeld hiervan is WebAuthn, een gestandaardiseerde, wachtwoordloze vorm van authenticatie op basis van publieke cryptografie. Deze methode werkt met cryptografische sleutels die zijn gekoppeld aan het domein van een website. Hierdoor wordt het vrijwel onmogelijk om inlogprocessen te repliceren via valse domeinen of tussenliggende servers.
Toch blijkt uit de analyse dat het gebruik van WebAuthn nog beperkt is. Cisco Talos adviseert daarom dat organisaties MFA niet langer moeten zien als een statische maatregel, maar als een onderdeel van een bredere, voortdurend aanpasbare securityaanpak. Dit omvat niet alleen robuustere authenticatiemethoden, maar ook bredere maatregelen zoals netwerkmonitoring, AI-ondersteunde dreigingsdetectie en een Zero Trust-architectuur.