Cybercriminelen maken gebruik van social engineering om tweefactorauthenticatie (2FA) te omzeilen, zo waarschuwt de FBI. De Amerikaanse opsporingsdienst heeft verschillende methodes in kaart gebracht die aanvallers toepassen om 2FA te omzeilen, waarbij social engineering de voornaamste methode is.
De FBI benoemt in de waarschuwing aan bedrijven verschillende gevallen van sim-swapping. Bij sim-swapping belt een oplichter de telecomprovider van het slachtoffer op en overtuigt een medewerker om het mobiele nummer over te zetten naar een andere simkaart, die reeds in het bezit is van de oplichter. "Veel van deze aanvallen zijn afhankelijk van het social engineeren van servicemedewerkers van grote telecombedrijven, die de informatie aan de aanvallers geven", aldus de FBI in een Private Industry Notification die door Public Intelligence openbaar werd gemaakt (pdf).
Een belangrijke maatregel om dergelijke aanvallen te voorkomen is bewust te zijn dat ze voorkomen, zo stelt de opsporingsdienst. Organisaties worden dan ook aangeraden om hun gebruikers en beheerders over "social engineering trickery" te onderwijzen. Verder wordt geadviseerd om aanvullende of complexere vormen van multifactorauthenticatie toe te passen, zoals biometrie of gedragsauthenticatiemethodes. "Hoewel dit ongemak voor de gebruik kan introduceren", zo merkt de FBI op.
Alex Weinert van Microsoft stelt dat aanvallen op multifactorauthenticatie (MFA) bestaan, maar "zeer zeldzaam" zijn. Het aantal accounts dat via MFA is beveiligd en gecompromitteerd, bedraagt minder dan 0,1 procent van de populatie, aldus Weinert. "Vergeleken met wachtwoordaanvallen, zijn aanvallen tegen niet-wachtwoordauthenticators zeer bijzonder."
Dat neemt niet weg dat MFA kwetsbaar is voor aanvallen. Volgens de Microsoftmedewerker zijn bijna alle authenticators die tegenwoordig in gebruikt zijn, zoals telefoons, e-mail, one-time passcode (OTP) tokens en push notificaties, kwetsbaar voor eenvoudige aanvallen waarbij het voor de authenticator gebruikte communicatiekanaal wordt overgenomen of er sprake is van een machine-in-the-middle voor het uitvoeren van real-time phishing.
"Aanvallen die MFA omzeilen zijn zo bijzonder dat we er geen goede statistieken van hebben, maar als ze voorkomen, gaat het meestal om één of twee gevallen", merkt Weinert op. Hij maakte een overzicht van verschillende authenticators en hun kwetsbaarheden. Dan blijkt dat smartcards, Windows Hello en FIDO-tokens bescherming bieden tegen real-time phishing en het kapen van het communicatiekanaal. Afsluitend krijgen alle gebruikers het advies om MFA voor hun accounts in te schakelen en uiteindelijk naar sterkere authenticators zoals Windows Hello of FIDO-tokens over te stappen.
Deze posting is gelocked. Reageren is niet meer mogelijk.