Verificatie op basis van identiteit is een fundament geworden van een veilige digitale omgeving. Het verlenen van volledige toegang tot online systemen brengt voordelen met zich mee, maar resulteert ook in een stijging van het aantal identiteitsgebaseerde aanvallen. Aanvallen op identiteit zijn helaas extreem moeilijk te detecteren. Wanneer de gegevens van een gebruiker zijn gecompromitteerd en de aanvaller zich voordoet als deze gebruiker, is het vaak lastig om dit met behulp van traditionele beveiligingsmaatregelen en -tools te detecteren.
Tussen april 2022 en april 2023 werden er 4.000 wachtwoordaanvallen per seconde geblokkeerd door Microsoft. Dit met een piek in april 2023 toen er gemiddeld 11.000 aanvallen per seconde werden uitgevoerd. De stijging van 3 miljard naar meer dan 30 miljard aanvalspogingen per maand benadrukt de noodzaak om je systemen beter te beveiligen én nieuwe beveiligingstechnieken onder de arm te nemen.
Wat is een identiteitsgebaseerde aanval?
Een identiteitsgebaseerde aanval is een cyberaanval die gericht is op het in gevaar brengen van de digitale identiteit van personen, organisaties of entiteiten. De hacker probeert tijdens deze aanval informatie met betrekking tot de identiteit – zoals gebruikersnamen, domeinnamen, e-mailadressen, wachtwoorden, persoonlijke gegevens of digitale certificaten – te stelen, wijzigen of misbruiken. Het doel is vaak om toegang te krijgen tot systemen, gegevens of bronnen, fraude te plegen of kwaadaardige activiteiten uit te voeren terwijl ze zich verschuilen achter de identiteit van legitieme gebruikers.
In deze blog zoomen we in op het gebruik en belang van eenmalige wachtwoorden (OTP-bots), token replay-aanvallen, MFA-moeheid, én delen we bruikbare inzichten om wachtwoordgebaseerde aanvallen te voorkomen.
One-Time Password (OTP)-bots
Multifactorauthenticatie (MFA) is nog altijd een effectieve beveiligingsmaatregel die een extra beveiligingslaag biedt.Toch weten cybercriminelen nog altijd manieren te vinden om MFA te omzeilen. Eén van de technieken die wordtgebruikt is een eenmalig wachtwoord (OTP-bots). OTP-bots nemen verificatiecodes van gebruikers over door hen te misleiden tot het geven van de OTP die naar hen is verzonden via sms, authenticatie-apps of e-mail. De cybercrimineel plaatst het telefoonnummer van het slachtoffer in de OTP-bot en belt het slachtoffer vervolgens op in de hoedanigheid vaneen legitieme serviceprovider. De bot meldt dat er verdachte activiteiten hebben plaatsgevonden op het account van het slachtoffer en vraagt om het wachtwoord eenmalig in te voeren ter verificatie. Het ingevoerde wachtwoord wordt vervolgens naar de cybercrimineel gestuurd, die daarmee toegang krijgt tot het account.
MFA-moeheid als dreiging
Nu hulpmiddelen zoals MFA ingezet worden om de cyberbeveiliging kracht bij te zetten, zoeken cybercriminelen naar nieuwe manieren om deze authenticatiemethode te omzeilen. Denk bijvoorbeeld aan MFA-bombing waarbij hackers eindgebruikers overspoelen met MFA-verzoeken. Met opzet of niet, sommigen accepteren uiteindelijk de verzoeken die door de hackers worden geïnitieerd. Hierdoor krijgt de aanvaller volledige toegang tot het account en kan hij de MFA-instellingen wijzigen. Zo beschikt hij op elk gewenst moment over de mogelijkheid om zich aan te melden.
Tegen het einde van juni 2023 observeerde Microsoft 6.000 van deze aanvallen per dag. Hieruit blijkt dat cyberaanvallen gericht op MFA en wachtwoordloze verificatie een ernstige dreiging vormen.
Je kunt jezelf en je organisatie beschermen door volgende tips toe te passen:
MFB-parameters aanscherpen: Verkort de tijd tussen factorauthenticaties, beperk het aantal mislukte toegangspogingen en verhoog het aantal factoren dat nodig is om toegang te krijgen.
Beveiligingsbewustzijn rond MFA verbeteren: Het is essentieel om gebruikers regelmatig bij te scholen. Train gebruikers, externe aannemers en vendoren die binnen je organisatie opereren over hoe ze MFA-aanvallen kunnen detecteren.
Nieuwe technieken voor wachtwoordbeheer en -verificatie bestuderen en overwegen: Het implementeren van FIDO2 (Fast Identity Online)-authenticatie kan een krachtig hulpmiddel zijn om wachtwoord-only logins te elimineren en deze te vervangen door bezit-gebaseerde identificatie die verloopt via het persoonlijk apparaat van de gebruiker.
Least privilege inzetten: De toegangsrechten van de gebruikers worden hiermee beperkt tot diegenen die ze daadwerkelijk nodig hebben. Als een gecompromitteerd account geen beheerdersrechten heeft, beperkt dit de mogelijkheid voor aanvallers om toegang te krijgen tot grote hoeveelheden gegevens.
Token replay-aanvallen
Een token replay-aanval is een cyberaanval waarbij een aanvaller geldige verificatietokens opvangt en opnieuw verstuurt om illegale toegang te krijgen tot een systeem of service. Deze worden vaak gebruikt om de identiteit van een gebruiker of apparaat te verifiëren zonder dat er een wachtwoord of andere gegevens nodig zijn. De aanvallers bemachtigen de tokens via malware, phishing of MFA-moeheid om zo bijkomende aanvallen uit te kunnen voeren.
Hoewel token replay-aanvallen minder dan drie procent van alle identiteitsdiefstal vertegenwoordigen, duidt de constante toename in detectie op het feit dat cybercriminelen deze aanvallen nog steeds als effectief beschouwen.
De noodzaak om MFA in te schakelen op virtuele privénetwerken (VPN)
VPNs worden al jaren gebruikt om externe toegang tot bedrijfsmiddelen te verlenen via een beveiligde verbinding. Toch is het van essentieel belang om ervoor te zorgen dat de configuratie van de VPN is afgestemd op de noden van een modern beveiligde architectuur. Het uitgebreide gebruik van VPNs binnen bedrijfsnetwerken en de toegankelijkheid vanaf het internet maakt VPNs tot een makkelijk en aantrekkelijk doelwit. Binnen bedrijfsomgevingen krijgen gebruikers meestal afzonderlijke VPN-accounts toegewezen die beperkte toegang bieden tot het interne netwerk. Het gebruik van MFA voor deze individuele accounts is dan ook cruciaal om het risico op een inbreuk te beperken. Het implementeren van monitoring, conditionele toegang, en het integreren van beveiligingsautomatisering zijn bijkomende essentiële stappen om ervoor te zorgen dat VPN-accounts veilig blijven.
In juni 2023 detecteerde Microsoft 158 miljoen gevallen van herhaald wachtwoordgebruik. Hoog tijd dus om je beter te beschermen tegen identiteitsaanvallen.
Enkele Tips & Tricks:
- Maak gebruik van authenticatie-apps in plaats van alleen te vertrouwen op codes die je via sms ontvangt.
- Deel je beveiligingscodes met niemand.
- Gebruik wachtwoordgeneratoren om sterke en unieke wachtwoorden te creëren. Gebruik wachtwoordmanagers om je wachtwoorden veilig op te slaan.
- Informeer jezelf en je werknemers over veelvoorkomende social engineering technieken om interacties met OTP-bots te herkennen en vermijden.
- Overweeg om een risicobeleid en tokenbescherming te implementeren in Conditional Access.
- Controleer je systemen op sporen van Token Replay.
- Maak gebruik van inloggegevens die niet te vervalsen zijn, zoals het koppelen van een wachtwoord aan het apparaat van de gebruiker. Denk hierbij aan tools als Windows Hello for Business en FIDO-keys (Fast Identity Online).
- Gebruik unieke wachtwoorden voor elke website.
- Beveilig je apparaten en accounts met multifactorauthenticatie.
Hoe wij kunnen helpen
Als Microsoft Solutions-partner en lid van de Microsoft Intelligent Security Association (MISA) beschikt Blaud over de nodige expertise op het gebied van privacy- en gegevensbescherming om je gegevens te beheren en te beschermen en je compliance-strategie aan te scherpen. Wil je meer weten over hoe wij je beveiligingsbeleid kunnen versterken? Plan dan vandaag nog een vrijblijvende één-op-één sessie in met één van onze beveiligingsexperts via hello@blaud.com.
Content afkomstig van het Microsoft Digital Defence Report. Klik HIER om het volledige rapport te raadplegen.