Bedankt voor de leestip.

2FA en MFA beschermen niet tegen phishing, voordat iemand dat denkt.

Dat klopt. Maar wanneer den MFA zo is ingesteld, dat alleen de rechtmatige gebruiker bij de gegevens kan, dus geen SMS b.v., dan maakt het een phisser toch moeilijker om verder te komen. Die moet dan voor een bestaand account de gegevens hebben van de loginnaam, het wachtwoord en de MFA key. Wanneer die snel genoeg verandert, zal het lastig zijn om door te breken. Bovendien moet bij iedere volgende poging deze weer verkregen worden. Dat zou eerder moeten opvallen.

Goed om te zien dat er nóg iemand is die zich dat realiseert; met de enorme push voor MFA -omdat dit zou helpen tegen phishing- denk ik soms dat ik de enige ben (enkele keywords: Modlishka, Muraena, Evilgenx2, CredSniper).

Eerlijkheidshalve: sommige 1FA/MFA-oplossingen beschermen wel behoorlijk goed tegen phishing, namelijk als de server op fatsoenlijke wijze wordt geauthenticeerd en een unieke identifier daarvan (meestal de domeinnaam) wordt gekoppeld aan de inloggegevens, zoals bij FIDO2/webauthn, vaak in combinatie met een hardware key. M.a.w. als het om een fake server gaat, zouden er geen (geheime) inloggegevens aan moeten worden prijsgegeven. Problemen:
1) FIDO2/webauthn wordt nauwelijks gebruikt en hardware keys zijn een ramp (je raakt ze te snel kwijt; maar ook als ze stuk gaan kun je, zonder (lastig te maken) back-up, op geen enkele server -waar je die key voor nodig hebt- meer inloggen;
2) Webauthn beschermt je niet bij een onterecht verkregen https servercertificaat na een domain-hijack of BGP-hijack, en ook niet bij de combinatie van een onterecht verkregen (of ontrrecht door de client vertrouwd) servercertificaat plus een DNS-aanval (en/of netwerk-MitM-aanval, een eitje bij public WiFi) die in elk geval de client treft.

Daarnaast treft phishing niet alleen mensen die inloggen (op een server waar zij al een account hebben), maar ook sites die je (zonder account), vaak onder valse voorwendselen, het hemd van het lijf vragen.

Ten slotte blijkt uit de rapportages van CISA dat 9,8% van de phishing-aanvallen plaatsvond via een bijlage. Ik weet niet precies welk deel daarvan een link in die bijlage betrof (met iets als "om dit document te kunnen bekijken moet u inloggen, klik hier") of juist uitvoerbare code bevat, zoals macro's (waarmee, bij uitvoering daarvan, feitelijk het lokale account wordt gecompromitteerd). Denkbaar is ook een overtuigend invulformulier als bijlage waarbij aan ontvangers gevraagd wordt dit ingevuld te retourneren (naar de aanvallers).

Overigens heb ik (na jaren vanalles overwogen te hebben) vergevorderde ideeën voor een relatief eenvoudige oplossing om phishing bij inloggen op een bestaand account nagenoeg onmogelijk te maken (dus te voorkomen dat je geheime credentials vrijgeeft aan een fake server), ook in het geval van bovengenoemde punt 1) volledig en punt 2) grotendeels. Dit natuurlijk wel onder de voorwaarde dat de betrokken systemen, zowel server side [s] als client side [c], 100% betrouwbaar zijn (dus niet gehacked zijn en/of geen gecompromitteerde rootcertificaten vertrouwen, want dan houdt m.i. alles op wat je aan technische oplossingen kunt bedenken).

[s] Denk aan de uiteindelijke server(s) zelf, maar ook aan opslag en back-ups daarvan, netwerken en -apparatuur die ongeauthenticeerde en/of onversleutelde data transporteren, eventuele CDN-servers en personen met toegang tot voornoemde spulleboel.
[c] De gebruikte client zelf (computer, smartphone etc.) van de inlogger, maar ook eventueel client-side TLS-inspectie (MitM) software of losstaande devices die dit doen. Overigens zijn laatsgenoemden lastpakken om serverauthenticatie waterdicht te krijgen, maar ik denk hier een goede oplossing voor te hebben gevonden (waar wel aanpassingen voor nodig zijn in dat soort software en apparaten).

Een m.i. belangrijk -doch minder "eenvoudig"- onderdeel van mijn oplossing is overigens revocation: naarmate we steeds meer online (digitaal) authenticeren, moet je m.i. veel simpeler en sneller toegang tot alle mogelijke systemen kunnen blokkeren als bijv. jouw PC gecompromitteerd blijkt te zijn geraakt of als je jouw smartphone kwijt bent (verloren of gestolen). Immers, als we onze pinpas kwijt zijn, bellen we ASAP onze bank; waarom bestaat zoiets niet voor onze online accounts? Erger, wie weet uit z'n hoofd op welke systemen bijv. een smartphonedief mogelijk, als zijnde de smartphoneeigenaar, zou kunnen inloggen? Bij een zwakke of afwezige schermbeveiliging "zit je zo" in iemands mail, SMS en chat-apps - en, tenzij je altijd alle gelezen berichten meteen weggooit, komt een crimineel daarmee extreem veel van je te weten - meestal ook op welke servers je een account hebt.

Voor andere vormen van phishing (dan inloggegevens prijsgeven aan een fake server) ken ik helaas geen echt goede oplossingen.