Frauduleuze MFA is de oorzaak van bijna 50% van alle securityincidenten, Zo was in 25% van de gevallen de oorzaak dat gebruikers frauduleuze MFA-pushmeldingen accepteerden. In 21% van de incidenten was gebrekkige implementatie van MFA de oorzaak.
Dat blijkt uit onderzoek van Cisco Duo. Het bedrijf analyseerde een dataset van push-aanvallen en onderzocht verschillende parameters. Daaronder zat bijvoorbeeld het percentage geaccepteerde MFA-pushmeldingen, pushverzoeken dat een gebruiker ontving, de piekuren van de aanvallen en de tijdsintervallen tussen opeenvolgende pushpogingen. Daarnaast waren de werkmethoden van de aanvallers, onderwerp van onderzoek.
Volgens Cisco Duo boekten organisaties de afgelopen jaren veel vooruitgang bij de implementatie van MFA. Verminderen van de effectiviteit van traditionele aanvallen zoals credential stuffing en password spraying wordt minder als je door MFA een extra beveiligingslaag toevoegt. MFA vormt een aanzienlijke barrière voor cybercriminelen en dus richten ze hun pijlen daarop.
Toch is MFA geen wondermiddel. De huidige problemen zijn voornamelijk te wijten aan de creativiteit van cybercriminelen om MFA te omzeilen en aan gebrekkige implementatie van de oplossing. Als je MFA bijvoorbeeld niet installeert op openbare applicaties of door end-of-life software te gebruiken.
Pushaanvallen en gestolen authenticatietokens
De meest voorkomende pogingen om MFA te omzeilen zijn volgens de onderzoekers MFA-pushaanvallen. Cybercriminelen krijgen toegang tot het wachtwoord en sturen dan herhaaldelijk pushmeldingen naar het MFA-apparaat van de gebruiker. Ze hopen zo dat het slachtoffer er uiteindelijk in trapt en ze accepteert. Uit een dataset van 15.000 geregistreerde push-aanvallen (van juni 2023 tot mei 2024) blijkt dat vijf procent van de verzonden push-aanvallen door gebruikers werd geaccepteerd.
Er zijn ook andere creatieve manieren waargenomen waarop cybercriminelen MFA omzeilen. Die omvatten bijvoorbeeld gestolen authenticatietokens, social engineering van de IT-afdeling om nieuwe MFA-apparaten toe te voegen of infiltreren van freelancers om hun telefoonnummer te wijzigen. Admin-rechten te pakken krijgen door binnendringen in een enkel endpoint en deactiveren van MFA-software. En dus ook medewerkers overtuigen om op meldingen van frauduleuze MFA te klikken.
“Het is goed dat organisaties MFA gebruiken, maar dan moeten ze het wel op de juiste manier implementeren,” benadrukt Jan Heijdra, Field CTO Security bij Cisco Nederland. “Zorg ervoor dat nummer-matching is ingeschakeld in MFA-applicaties zoals Cisco Duo. Rol MFA uit voor alle kritieke diensten, inclusief remote access en identiteits- en toegangsbeheer (IAM). En stel meldingen in voor single-factor authenticatie om potentiële kwetsbaarheden snel te identificeren. Het is daarnaast essentieel medewerkers te trainen in het herkennen van social engineering en om bewustzijn te creëren rondom MFA-aanvallen. Daarnaast moeten organisaties een toegangsbeleid definiëren voor systemen waar MFA niet kan worden toegepast.”
Lees ook:
- Toegang tot data bij cloudopslagdienst kwetsbaar