Bijna de helft van alle beveiligingsincidenten is gerelateerd aan multi-factor authenticatie (MFA). In een kwart van de gevallen komt dit doordat gebruikers frauduleuze MFA-pushmeldingen accepteren die door aanvallers zijn verstuurd. Dit blijkt uit onderzoek van Cisco Duo.
Cisco Duo meldt dat organisaties de afgelopen jaren veel vooruitgang hebben geboekt met de implementatie van MFA. Deze technologie heeft aanzienlijk bijgedragen aan het verminderen van de effectiviteit van traditionele aanvallen zoals credential stuffing en password spraying.
Dit is volgens Cisco Duo een belangrijke reden waarom cybercriminelen zich nu zo sterk richten op MFA, omdat het een aanzienlijke barrière vormt voor hun aanvallen. De meest voorkomende methode om MFA te omzeilen is via MFA-pushaanvallen. Hierbij verkrijgen aanvallers toegang tot het wachtwoord en sturen ze herhaaldelijk pushmeldingen naar het MFA-apparaat van de gebruiker, in de hoop dat deze uiteindelijk wordt geaccepteerd.
Uit een dataset van 15.000 geregistreerde push-aanvallen (van juni 2023 tot mei 2024) blijkt dat 5% van deze aanvallen door gebruikers werd geaccepteerd.
Naast push-aanvallen hebben de onderzoekers ook andere creatieve methoden waargenomen waarmee cybercriminelen MFA omzeilen. Deze methoden omvatten het gebruik van gestolen authenticatietokens, social engineering van de IT-afdeling om nieuwe MFA-apparaten toe te voegen, het infiltreren van freelancers om hun telefoonnummer te wijzigen, het verkrijgen van admin-rechten door het binnendringen in een enkel endpoint en het deactiveren van MFA-software, evenals het overtuigen van medewerkers om op frauduleuze MFA-pushmeldingen te klikken.
“Het is goed dat organisaties MFA gebruiken, maar dan moeten ze het wel op de juiste manier implementeren,” benadrukt Jan Heijdra, Field CTO Security bij Cisco Nederland. “Zorg ervoor dat nummer-matching is ingeschakeld in MFA-applicaties, rol MFA uit voor alle kritieke diensten, inclusief remote access en identiteits- en toegangsbeheer (IAM), en stel meldingen in voor single-factor authenticatie om potentiële kwetsbaarheden snel te identificeren. Het is daarnaast essentieel medewerkers te trainen in het herkennen van social engineering en om bewustzijn te creëren rondom MFA-aanvallen. Daarnaast moeten organisaties een toegangsbeleid definiëren voor systemen waar MFA niet kan worden toegepast.”
Bron: CHC