Cybercriminelen omzeilen steeds vaker multi-factor authenticatie volgens Cisco Talos

Uit een analyse van Cisco Talos blijkt dat multi-factor authenticatie (MFA) niet langer de ondoordringbare verdedigingslinie is het ooit was. Hoewel MFA lange tijd werd gezien als een van de meest effectieve en betaalbare methoden om phishingaanvallen tegen te gaan, constateren de onderzoekers van Cisco Talos dat cybercriminelen nieuwe methoden hebben ontwikkeld om deze beveiligingslaag te omzeilen. De verschuiving in aanvalstactieken vraagt volgens Cisco om een herziening van de bestaande beveiligingsstrategieën binnen organisaties.

De onderzoekers van Cisco Talos signaleren onder meer een duidelijke toename van zogeheten adversary-in-the-middle-aanvallen. Hierbij maken aanvallers geen gebruik meer van traditionele phishingpagina’s, maar zetten ze reverse proxy-servers in die een directe verbinding opzetten met de echte inlogpagina van een dienst. Voor de gebruiker lijkt er in eerste instantie niets ongebruikelijks aan de hand, men logt in zoals gewoonlijk en bevestigt de MFA-verificatie. Wat de gebruiker echter niet ziet, is dat de communicatie via de server van de aanvaller verloopt. Op die manier kunnen cybercriminelen niet alleen inloggegevens onderscheppen, maar ook de bijbehorende sessiecookie. Daarmee verkrijgen zij volledige toegang tot de actieve sessie, zonder verdere tussenkomst van de gebruiker.

Een tweede ontwikkeling die Cisco Talos ziet, is de groeiende beschikbaarheid van zogenoemde Phishing-as-a-Service-platforms. Deze kant-en-klare toolkits, zoals Evilproxy en Tycoon 2FA, stellen aanvallers in staat om zonder diepgaande technische kennis geavanceerde aanvallen op te zetten. Ze bevatten onder andere templates voor populaire diensten, filters voor IP-adressen en user agents en technieken om detectie door beveiligingssoftware te omzeilen. Het gevolg is dat steeds meer cybercriminelen hierdoor in staat zijn om professionele en grootschalige phishingcampagnes uit te voeren.

Daarnaast blijkt uit de analyse dat traditionele securitymaatregelen, zoals spamfilters en cyberawareness-trainingen, steeds minder effectief blijken in het tegenhouden van deze nieuwe aanvalsvormen. Zelfs combinaties van wachtwoorden en pushmeldingen, een MFA-variant die veel wordt toegepast, kunnen met de juiste infrastructuur worden misbruikt. In sommige gevallen voegen aanvallers na een succesvolle inbraak zelfs extra MFA-apparaten toe aan het account, wat vaak onopgemerkt blijft en de controle over het account verder ondermijnt.

Volgens Cisco Talos is het dan ook van cruciaal belang dat organisaties zich voorbereiden op deze evoluerende dreigingen. Technologieën die bestand zijn tegen geavanceerde phishingtactieken kunnen de kans op succesvolle aanvallen aanzienlijk verkleinen. Een voorbeeld hiervan is WebAuthn, een gestandaardiseerde, wachtwoordloze vorm van authenticatie op basis van publieke cryptografie. Deze methode werkt met cryptografische sleutels die zijn gekoppeld aan het domein van een website. Hierdoor wordt het vrijwel onmogelijk om inlogprocessen te repliceren via valse domeinen of tussenliggende servers.

Toch blijkt uit de analyse dat het gebruik van WebAuthn nog beperkt is. Cisco Talos adviseert daarom dat organisaties MFA niet langer moeten zien als een statische maatregel, maar als een onderdeel van een bredere, voortdurend aanpasbare securityaanpak. Dit omvat niet alleen robuustere authenticatiemethoden, maar ook bredere maatregelen zoals netwerkmonitoring, AI-ondersteunde dreigingsdetectie en een Zero Trust-architectuur.

“Jarenlang gold multi-factor authenticatie als een van de meest effectieve verdedigingslinies tegen phishing, maar inmiddels zien we dat deze maatregel zijn grenzen heeft bereikt,” aldus Jan Heijdra, Field CTO bij Cisco Nederland. “Cybercriminelen passen hun tactieken razendsnel aan. Het gebruik van technieken zoals adversary-in-the-middle-aanvallen en kant-en-klare phishingplatforms onderstreept de noodzaak voor een bredere, contextbewuste beveiligingsstrategie. Alleen door moderne technologieën te combineren met een Zero Trust-aanpak kunnen we digitale identiteiten écht beschermen.”