Cybercriminelen hebben een nieuwe manier gevonden om multi-factor authenticatie (MFA) te omzeilen, waarschuwt cybersecuritybedrijf Sekoia in een recent onderzoek. Deze methode, genaamd Tycoon 2FA, is sinds augustus 2023 actief en maakt het mogelijk om accounts binnen te dringen, zelfs als MFA is ingeschakeld. (Lees meer op de Sekoia-blog).
Wat is Tycoon 2FA?
Tycoon 2FA is een phishing framework dat wordt gebruikt door cybercriminelen. Het werkt via een techniek genaamd “adversary-in-the-middle” (AiTM). Eenvoudig uitgelegd: de aanvaller plaatst zich tussen de gebruiker en de echte website. Hierdoor kunnen inloggegevens én MFA-codes in real time worden onderschept. De aanvaller gebruikt daarna deze gegevens om toegang te krijgen tot een account, zonder dat verdere verificatie nodig is.
Hoe werkt deze aanval?
De aanval begint vaak met een valse e-mail die lijkt te komen van een bekende dienst, zoals Microsoft 365 of Gmail. In deze e-mail zit een link naar een inlogpagina die bijna niet te onderscheiden is van de echte. Op het moment dat het slachtoffer zijn of haar gegevens invult, worden deze automatisch naar de legitieme website verzonden. Tegelijkertijd vangt de aanvaller de sessiegegevens op, waardoor hij toegang krijgt tot het account.
Waarom is dit een probleem voor bedrijven?
Veel bedrijven vertrouwen op MFA om gevoelige accounts te beschermen. De bevindingen van Sekoia laten echter zien dat cybercriminelen steeds slimmer worden. Met de opkomst van phishing frameworks zoals Tycoon 2FA wordt duidelijk dat een maatregel zoals MFA niet langer volstaat. Uit eigen vaststellingen bij klanten, weet i-Force dat deze dreiging een realiteit is.
Wat kunnen bedrijven hiertegen doen?
Wees voorbereid: Herzie je beleid om voorbereid te zijn op dit soort aanvallen.
Medewerkers bewust maken: Zorg dat medewerkers begrijpen hoe dit soort phishing frameworks werken. Leer hen verdachte e-mails en inlogpagina’s te herkennen.
Extra technische maatregelen nemen: Gebruik technologie die afwijkend gedrag kan detecteren, zoals inlogpogingen vanaf ongewone locaties of apparaten. Daarnaast is Conditional Access een krachtig hulpmiddel dat alleen toegang geeft onder specifieke voorwaarden, bijvoorbeeld vanaf bekende apparaten, vertrouwde netwerken of gebruikelijke locaties. Als een poging niet aan deze voorwaarden voldoet, wordt de toegang geblokkeerd of is extra verificatie nodig. Dit kan aanvallen zoals Tycoon 2FA effectief afremmen.
De belangrijkste conclusie voor bedrijven
De bevindingen van Sekoia tonen aan dat cybercriminelen steeds geraffineerder worden. Alleen vertrouwen op een maatregel als MFA is gewoon niet meer genoeg. Helaas hebben we al gevallen gezien waarin dit soort aanvallen hebben plaatsgevonden. Ondanks sterke beveiligingsmaatregelen slaagden aanvallers er toch in om in te breken in accounts door slimme trucjes te gebruiken om MFA te omzeilen. Dit laat zien dat deze dreiging niet ver weg is, maar een probleem is dat zich nu voordoet.
Het is cruciaal voor bedrijven om nu te handelen. Zorg ervoor dat je werknemers weten hoe ze phishingpogingen moeten herkennen, investeer in aanvullende beveiligingstechnologieën en herzie je beleid om voorbereid te zijn op dit soort aanvallen. Een combinatie van bewustzijn, slimme technologieën en goed doordacht beleid zal uw bedrijf effectiever beschermen.
Wacht niet tot het te laat is!