Overheidssubsidie voor campagne over inschakelen multifactorauthenticatie
Het ministerie van Justitie en Veiligheid is van plan om een campagne over het gebruik van multifactorauthenticatie te financieren, aangezien dit kan helpen tegen veel vormen van cybercrime, zo stelt minister Yesilgoz van Justitie en Veiligheid. Eind oktober werd de campagne Woensdag Ongehacktdag gelanceerd, waarbij elke woensdag aandacht wordt gegeven aan digitaal veilig gedrag.
Het eerste thema van de Woensdag Ongehacktdag is het gebruik van multifactorauthenticatie. De campagne is een initiatief van Alert Online en VeiligInternetten.nl en is mogelijk gemaakt door het ministerie van Economische Zaken en het ministerie van Justitie en Veiligheid. VeiligInternetten.nl is een initiatief van ECP Platform voor de Informatiesamenleving.
In een brief aan de Tweede Kamer schrijft Yesilgoz dat haar ministerie voornemens is een subsidie aan ECP te verlenen voor het versterken van de campagne ter promotie van het gebruik van multifactorauthenticatie. "Dit kan helpen tegen veel vormen van cybercrime, waaronder het hacken van accounts en ransomware", aldus de minister.
Reacties (13)
Digitaal veilig gedrag bestaat vooral op papier.
Ondertussen... doorgaan met digi-drammen. Terwijl we elke dag weer zien dat het fout gaat. Elke dag weer.
Ondertussen... doorgaan met digi-drammen. Terwijl we elke dag weer zien dat het fout gaat. Elke dag weer.
Door Anoniem: Digitaal veilig gedrag bestaat vooral op papier.
Ondertussen... doorgaan met digi-drammen. Terwijl we elke dag weer zien dat het fout gaat. Elke dag weer.
Jij reageert ook digitaal, dus het werkt!Ondertussen... doorgaan met digi-drammen. Terwijl we elke dag weer zien dat het fout gaat. Elke dag weer.
Met MFA bedoelt onze regering het gebruik van een App op een smartphone. Andere manieren van authenticatie wenst ons kabinet niet aan te bieden aan haar burgers. Alles op één device, dat is pas veilig vindt men in Den Haag. Maakt niet uit hoelang deze al end-of-life is (tenzij het te veel werk blijkt om deze blijvend te ondersteunen).
Practice what you preach...
Enorm frustrerend dat kpnmail.nl nog steeds geen 2FA voor niet-zakelijke gebruikers heeft geïmplementeerd. Het hoofd emailaccount is juist dat account waarmee je, zo nodig, toegang tot andere accounts kunt herstellen, en laat nu juist dit account al jaren lang ?onnodig? kwetsbaar zijn!
Enorm frustrerend dat kpnmail.nl nog steeds geen 2FA voor niet-zakelijke gebruikers heeft geïmplementeerd. Het hoofd emailaccount is juist dat account waarmee je, zo nodig, toegang tot andere accounts kunt herstellen, en laat nu juist dit account al jaren lang ?onnodig? kwetsbaar zijn!
Bij dit soort campagnes worden helaas zowel veilige als onveilige MFA oplossingen gepromoot. Veilige MFA oplossingen zijn bestand tegen phishing en 'MFA fatigue'. In de praktijk wordt worden ook onveilige MFA oplossingen gepromoot, zoals de codes van mobiele apps of via SMS.
Een gemiste kans om belastinggeld nuttig te gebruiken, want als iedereen onveilige MFA oplossingen gaat gebruiken is er over een paar jaar weer een nieuwe campagne nodig om iedereen er op te wijzen dat de MFA oplossing die ze gebruiken helemaal niet veilig is.
Een gemiste kans om belastinggeld nuttig te gebruiken, want als iedereen onveilige MFA oplossingen gaat gebruiken is er over een paar jaar weer een nieuwe campagne nodig om iedereen er op te wijzen dat de MFA oplossing die ze gebruiken helemaal niet veilig is.
Gaat de overheid dan ook SMS als MFA verbieden voor b.v. banken en andere instellingen?
Hoe meer mensen phishable MFA gaan gebruiken, hoe vaker cybercriminelen evil proxies zullen gaan inzetten, zoals Evilginx2 ([1] van 3 november, bron: [2]).
[1] https://www.ironnet.com/blog/robin-banks-still-might-be-robbing-your-bank-part-2
[2] https://www.bleepingcomputer.com/news/security/robin-banks-phishing-service-returns-to-steal-banking-accounts/
Hoe werkt zo'n "evil proxy"
Fictief persoon Jan krijgt dan bijvoorbeeld een e-mail met als afzender "Google" waarin staat dat cybercriminelen zijn wachtwoord hebben geraden, maar dankzij MFA nog niet hebben kunnen inloggen. Jan wordt echter dringend aangeraden om zo snel als mogelijk in te loggen op de in de e-mail getoonde link https://accounts.google.com/.
Echter, "onder" die getoonde link zit ofwel https://accounts-google.com/ ofwel een verkorte link (zoals een bit.ly link) die Jan's browser doorstuurt naar https://accounts-google.com/.
Hopelijk ten overvloede: https://accounts-google.com/ kan een totaal andere eigenaar hebben dan https://accounts.google.com/ (let op het streepje versus de punt tussen "accounts" en "google").
Dat is een nep website, een proxy (bidirectionele doorgever) die de hele webpagina van https://accounts.google.com/ exact kopieert en alles wat jij invoert op https://accounts-google.com/ ook weer invoert op https://accounts.google.com/, als volgt:
Als Jan de juiste inloggegevens invult op de nep website, en de software van de AitM (Attacker in the Middle) die gegevens naar de echte website heeft doorgestuurd, zal de echte website een authenticatie-cookie terugsturen naar de AitM die daarmee is ingelogd in het account van Jan.
Als de AitM langduriger toegang wil houden tot het account van Jan, kan die AitM proberen om de de huidige MFA-methode te kapen (om te zetten naar diens eigen smartphone) of om een MFA-methode toe te voegen. Meestal moet de echte eigenaar daarvoor opnieuw diens inloggegevens invoeren (als er sprake is van een controle via e-mail, werkt dit niet). Als de AitM snel genoeg is en er een TOTP-code gebruikt is, kan deze wellicht nog worden hergebruikt (user-ID en wachtwoord heeft de AitM natuurlijk al). Om Jan opnieuw diens inloggegevens te laten invoeren (met een ondertussen gewijzigde MFA-code), kan de AitM op de nep website liegen dat de eerste inlogpoging mislukt is: "er ging iets mis, probeer opnieuw".
Steeds minder zinvolle gangbare MFA
De suggestie dat met gangbare MFA jouw accounts wél veilig zijn, is in toenemende mate onjuist; zelfs Microsoft Authenticator met number matching en/of locatiebepaling helpt geen zier bij dit soort aanvallen. In de campagne voor het gebruik van multifactorauthenticatie [3] zie ik, in de meeste gevallen, zelfs het advies om SMS als MFA-methode in te stellen, wat notabene afgeraden wordt door de CISA van de VS [4].
[3] https://veiliginternetten.nl/inloggen-in-twee-stappen/toolkit-tweestapsverificatie/
[4] https://www.security.nl/posting/773092/VS+adviseert+tegen+gebruik+van+sms+voor+MFA%2C+pleit+voor+fysieke+tokens
Nergens in [3] (en [1]) zie ik een waarschuwing dat je zorgvuldig de domeinnaam + slotje moet checken voordat je iets invult, noch hoe eenvoudig het voor cybercriminelen is om surfers met "lijkt op" domeinnamen op het verkeerde been te zetten.
Dit soort MFA is nauwelijks veiliger dan unieke, niet te raden en voldoende lange wachtwoorden (uit een goede wachtwoordmanager). Bovendien vinden veel mensen MFA maar lastig, en door de vele verschillende (allemaal meer of minder omzeilbare) MFA-methodes (elk met bijbehorende fans) zien velen door de bomen het bos niet meer. Daar komt bij dat je door allerlei omstandigheden (tijdelijk) geen toegang kunt hebben tot de benodigde MFA-codes, en daardoor niet in kunt loggen (waar vaak risicovolle "downgrade" mechanismes voor worden bedacht). Ten slotte kunnen MFA-codes afleiden van waar je echt op moet letten (mét en zonder gangbare MFA): de domeinnaam ( + hangslotje ten teken van een https-verbinding) - waarbij je precies moet weten hoe die domeinnaam hoort te luiden.
[1] https://www.ironnet.com/blog/robin-banks-still-might-be-robbing-your-bank-part-2
[2] https://www.bleepingcomputer.com/news/security/robin-banks-phishing-service-returns-to-steal-banking-accounts/
Hoe werkt zo'n "evil proxy"
Fictief persoon Jan krijgt dan bijvoorbeeld een e-mail met als afzender "Google" waarin staat dat cybercriminelen zijn wachtwoord hebben geraden, maar dankzij MFA nog niet hebben kunnen inloggen. Jan wordt echter dringend aangeraden om zo snel als mogelijk in te loggen op de in de e-mail getoonde link https://accounts.google.com/.
Echter, "onder" die getoonde link zit ofwel https://accounts-google.com/ ofwel een verkorte link (zoals een bit.ly link) die Jan's browser doorstuurt naar https://accounts-google.com/.
Hopelijk ten overvloede: https://accounts-google.com/ kan een totaal andere eigenaar hebben dan https://accounts.google.com/ (let op het streepje versus de punt tussen "accounts" en "google").
Dat is een nep website, een proxy (bidirectionele doorgever) die de hele webpagina van https://accounts.google.com/ exact kopieert en alles wat jij invoert op https://accounts-google.com/ ook weer invoert op https://accounts.google.com/, als volgt:
Jan nep website van "AitM"
.-------------------------.
| O |
O --> | [_] accounts-google.com |
/|\ | |
/ \ | Inloggen bij Google |
| Naam [ Jan@gma..] |
| Password [ Geheim! ] |
| MFA code [ 173819 ] |
'-------------------------'
^
"AitM" O |
logt in /|\ |
als Jan / \ |
v
.-------------------------.
| O |
| [_] accounts.google.com |
| |
| Inloggen bij Google |
| Naam [ Jan@gma..] |
| Password [ Geheim! ] |
| MFA code [ 173819 ] |
'-------------------------'
echte website
O staat voor gesloten hangslotje
[_] (https-verbinding)
.-------------------------.
| O |
O --> | [_] accounts-google.com |
/|\ | |
/ \ | Inloggen bij Google |
| Naam [ Jan@gma..] |
| Password [ Geheim! ] |
| MFA code [ 173819 ] |
'-------------------------'
^
"AitM" O |
logt in /|\ |
als Jan / \ |
v
.-------------------------.
| O |
| [_] accounts.google.com |
| |
| Inloggen bij Google |
| Naam [ Jan@gma..] |
| Password [ Geheim! ] |
| MFA code [ 173819 ] |
'-------------------------'
echte website
O staat voor gesloten hangslotje
[_] (https-verbinding)
Als Jan de juiste inloggegevens invult op de nep website, en de software van de AitM (Attacker in the Middle) die gegevens naar de echte website heeft doorgestuurd, zal de echte website een authenticatie-cookie terugsturen naar de AitM die daarmee is ingelogd in het account van Jan.
Als de AitM langduriger toegang wil houden tot het account van Jan, kan die AitM proberen om de de huidige MFA-methode te kapen (om te zetten naar diens eigen smartphone) of om een MFA-methode toe te voegen. Meestal moet de echte eigenaar daarvoor opnieuw diens inloggegevens invoeren (als er sprake is van een controle via e-mail, werkt dit niet). Als de AitM snel genoeg is en er een TOTP-code gebruikt is, kan deze wellicht nog worden hergebruikt (user-ID en wachtwoord heeft de AitM natuurlijk al). Om Jan opnieuw diens inloggegevens te laten invoeren (met een ondertussen gewijzigde MFA-code), kan de AitM op de nep website liegen dat de eerste inlogpoging mislukt is: "er ging iets mis, probeer opnieuw".
Steeds minder zinvolle gangbare MFA
De suggestie dat met gangbare MFA jouw accounts wél veilig zijn, is in toenemende mate onjuist; zelfs Microsoft Authenticator met number matching en/of locatiebepaling helpt geen zier bij dit soort aanvallen. In de campagne voor het gebruik van multifactorauthenticatie [3] zie ik, in de meeste gevallen, zelfs het advies om SMS als MFA-methode in te stellen, wat notabene afgeraden wordt door de CISA van de VS [4].
[3] https://veiliginternetten.nl/inloggen-in-twee-stappen/toolkit-tweestapsverificatie/
[4] https://www.security.nl/posting/773092/VS+adviseert+tegen+gebruik+van+sms+voor+MFA%2C+pleit+voor+fysieke+tokens
Nergens in [3] (en [1]) zie ik een waarschuwing dat je zorgvuldig de domeinnaam + slotje moet checken voordat je iets invult, noch hoe eenvoudig het voor cybercriminelen is om surfers met "lijkt op" domeinnamen op het verkeerde been te zetten.
Dit soort MFA is nauwelijks veiliger dan unieke, niet te raden en voldoende lange wachtwoorden (uit een goede wachtwoordmanager). Bovendien vinden veel mensen MFA maar lastig, en door de vele verschillende (allemaal meer of minder omzeilbare) MFA-methodes (elk met bijbehorende fans) zien velen door de bomen het bos niet meer. Daar komt bij dat je door allerlei omstandigheden (tijdelijk) geen toegang kunt hebben tot de benodigde MFA-codes, en daardoor niet in kunt loggen (waar vaak risicovolle "downgrade" mechanismes voor worden bedacht). Ten slotte kunnen MFA-codes afleiden van waar je echt op moet letten (mét en zonder gangbare MFA): de domeinnaam ( + hangslotje ten teken van een https-verbinding) - waarbij je precies moet weten hoe die domeinnaam hoort te luiden.
Door Anoniem:
Nee, het illustreert juist hoe fout het gaat. Want dat het werkt terwijl het elke dag fout hoort te gaan betekent dat het niet werkt zoals het hoort (namelijk door fout te gaan). Snap dat dan! ;-)Door Anoniem: Digitaal veilig gedrag bestaat vooral op papier.
Ondertussen... doorgaan met digi-drammen. Terwijl we elke dag weer zien dat het fout gaat. Elke dag weer.
Jij reageert ook digitaal, dus het werkt!Ondertussen... doorgaan met digi-drammen. Terwijl we elke dag weer zien dat het fout gaat. Elke dag weer.
Het blijft triest dat veiligInternetten.nl gewoon jouw data blijft delen met Google. Dit ook nog eens zonder toestemming.
Voor jouw veiligheid, bezoek die site maar niet of juist wel. En doe een verzoek om jouw data/persoonsgegevens bij Google te laten verwijderen en zie wat er dan gebeurt...
Voor jouw veiligheid, bezoek die site maar niet of juist wel. En doe een verzoek om jouw data/persoonsgegevens bij Google te laten verwijderen en zie wat er dan gebeurt...
Je zit vast aan je 06 en je zit vast aan je telefoon,
leuker kunnen we het niet maken,wel makkelijker.
EU-nl-2022
leuker kunnen we het niet maken,wel makkelijker.
EU-nl-2022
Het is net als bij de vele zelfscan-kassa's. Overal net iets andere procedure. Vele klanten kunnen niet zonder hulp vanuit het winkelpersoneel. Met je bonnetje door een poortje.
Hoe vaak is ook je inlogpagina voor betalingen online al gewijzigd, vernieuwd, anders ingericht? Ja, de developer houdt ook graag werk. Wie profiteert? De cybercrimineel mede door eindgebruikers, die niet genoeg updaten, upgraden en opletten vooral.
Nu wil men ook nog analoog en cash gaan uitfaseren. Dat gaat niet goedkomen mensen. Dat wordt een ramp of is het al.
Dan handjes in de lucht en overgenomen worden door AI en cyberslaafje zijn, aangestuurd en ge'piepeld' voor het leven?
U wilt dat niet en toch gaat het gebeuren, linksom of rechtsom.
Hoe vaak is ook je inlogpagina voor betalingen online al gewijzigd, vernieuwd, anders ingericht? Ja, de developer houdt ook graag werk. Wie profiteert? De cybercrimineel mede door eindgebruikers, die niet genoeg updaten, upgraden en opletten vooral.
Nu wil men ook nog analoog en cash gaan uitfaseren. Dat gaat niet goedkomen mensen. Dat wordt een ramp of is het al.
Dan handjes in de lucht en overgenomen worden door AI en cyberslaafje zijn, aangestuurd en ge'piepeld' voor het leven?
U wilt dat niet en toch gaat het gebeuren, linksom of rechtsom.
Door Anoniem: Practice what you preach...
Enorm frustrerend dat kpnmail.nl nog steeds geen 2FA voor niet-zakelijke gebruikers heeft geïmplementeerd. Het hoofd emailaccount is juist dat account waarmee je, zo nodig, toegang tot andere accounts kunt herstellen, en laat nu juist dit account al jaren lang ?onnodig? kwetsbaar zijn!
Hetzelfde geldt voor Ziggo...Enorm frustrerend dat kpnmail.nl nog steeds geen 2FA voor niet-zakelijke gebruikers heeft geïmplementeerd. Het hoofd emailaccount is juist dat account waarmee je, zo nodig, toegang tot andere accounts kunt herstellen, en laat nu juist dit account al jaren lang ?onnodig? kwetsbaar zijn!
Ik gok dat het iets te maken heeft het aanbieden van verouderde mailprotocollen zoals IMAP en POP3.
Overigens kan SMTP ook niet werken met MFA :(
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
