image

Amerikaanse overheid adviseert tegen sms-gebaseerde MFA

vrijdag 11 augustus 2023, 15:35 door Redactie, 13 reacties

Sms-gebaseerde multifactorauthenticatie (MFA) is voor de meeste organisaties en eindgebruikers niet veilig genoeg en de huidige protocollen van providers in de Verenigde Staten zijn onvoldoende om sim-swapping tegen te gaan, zo stelt de Amerikaanse overheid. Het Cyber Safety Review Board (CSRB) van het Amerikaanse ministerie van Homeland Security deed onderzoek naar aanvallen door de Lapsus$-groep en heeft nu een rapport met bevindingen gepubliceerd.

De Lapsus$-groep wist toegang te krijgen tot systemen van onder andere Microsoft, Samsung, Nvidia en Okta. Vervolgens werd broncode en andere gevoelige informatie gestolen. Als slachtoffers geen losgeld betaalden dreigde de groep de gestolen data openbaar te maken. Volgens het CSRB maakte de groep gebruik van 'low-cost' technieken om organisaties te compromitteren, waaronder social engineering en sim-swapping.

Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld MFA-codes ontvangen. Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren.

De Lapsus$-groep zocht eerst allerlei informatie over hun doelwit, zoals naam, telefoonnummer en customer proprietary network information (CPNI). Hiervoor maakte de groep ook gebruik van frauduleuze Emergency Disclosure Requests (EDR's). Hierbij doen overheidsinstanties oproepen aan telecomproviders voor informatie over abonnees. Lapsus$ deed zich hierbij voor als opsporingsdiensten en kon zo bij de nietsvermoedende providers informatie over het doelwit opvragen.

Voor het uitvoeren van de sim-swaps richtte de groep zich op medewerkers van telecomproviders. De groep wist accounts van deze medewerkers over te nemen en zo toegang te krijgen tot de systemen waarmee providers zelf sim-swaps uitvoeren. Vervolgens kon de sim-swap bij het doelwit worden uitgevoerd en zijn accounts worden overgenomen.

Volgens het CSRB laten de aanvallen zien dat sms-gebaseerde MFA voor de meeste organisaties en eindgebruikers niet voldoende veilig zijn. "De Board zag een collectief falen om voldoende rekening te houden met de risico's van sms en voice calls voor MFA en die te mitigeren. In verschillende gevallen wisten de aanvallers toegang te krijgen via sim-swapping, waardoor ze de via sms verstuurde eenmalige codes en push notificaties konden onderscheppen, en zo deze MFA-maatregel omzeilen."

Verder stellen de onderzoekers dat de huidige protocollen die Amerikaanse telecomproviders toepassen om sim-swapping tegen te gaan onvoldoende zijn. Zo zouden providers klanten onder andere de optie moeten bieden om accounts te vergrendelen, betere identificatiecontroles moeten uitvoeren, tot 24 uur wachten met het overzetten en frauduleuze sim-swaps als misdrijf beschouwen.

Image

Reacties (13)
11-08-2023, 15:46 door Anoniem
pubkey + (papieren!) backup codes is dus wat je wilt gebruiken.

Dus dat betekent dat bij het aanmaken van een account:
- Je een private key genereert en de public key naar de server stuurt.
- Je backup codes genereert en enkel uitprint op papier.
Dit document stop je in je kluis of belangrijke-documenten map. (Desnoods bewaren bij de bank/je oma)
Dus niet opslaan op je PC!
11-08-2023, 16:07 door Anoniem
Dat is mooi. En oud nieuws. Daarnaast rammelt het systeem al om dat lang niet iedereen een dergelijke telefoon heeft.

En wat is de oplossing? Toch weer naar de 'calculator'? Maar ja, da's wel gedoe. Een smartfoon dan? Genoeg mensen die zo'n ding niet willen en daar heb je nog niet eens controle over het OS.
11-08-2023, 16:33 door Anoniem
Default instelling van de grootste amerikaanse clubjes, genaamd microsoft is 2FA via sms... of bellen.
11-08-2023, 17:00 door Anoniem
Sms is volgens de Amerikaanse overheid niet veilig maar volgens mij is niks veilig want alles is Amerikaanse rotzooi met een achterdeurtje zonder hangslot.
11-08-2023, 17:20 door Anoniem
SMS is dus wel veilig genoeg, maar het gemak waarmee een telefoonnummer kan worden overgenomen, is dus de grote risicofactor. Daar zou dus wat aan gedaan moeten worden op een voor de gebruiker aanvaardbare manier.
11-08-2023, 17:46 door Anoniem
Door Anoniem: SMS is dus wel veilig genoeg, maar het gemak waarmee een telefoonnummer kan worden overgenomen, is dus de grote risicofactor. Daar zou dus wat aan gedaan moeten worden op een voor de gebruiker aanvaardbare manier.

Exact, de telecomproviders zijn de zwakke schakel in het geheel.
Tegen slaperige servicedeskmedewerkers is geen beveiliging opgewassen.
11-08-2023, 19:46 door Anoniem
Door Anoniem: pubkey + (papieren!) backup codes is dus wat je wilt gebruiken.

Dus dat betekent dat bij het aanmaken van een account:
- Je een private key genereert en de public key naar de server stuurt.
- Je backup codes genereert en enkel uitprint op papier.
Dit document stop je in je kluis of belangrijke-documenten map. (Desnoods bewaren bij de bank/je oma)
Dus niet opslaan op je PC!

Dat is geen MFA helaas.
11-08-2023, 19:49 door Anoniem
Door Anoniem: SMS is dus wel veilig genoeg, maar het gemak waarmee een telefoonnummer kan worden overgenomen, is dus de grote risicofactor. Daar zou dus wat aan gedaan moeten worden op een voor de gebruiker aanvaardbare manier.

Nee, sms is niet veilig genoeg. Er zijn meerdere manieren om sms of telefoon gesprekken om te leiden. Zoek maar eens op SS7 (niet geautomatiseerd en in plaintext).
11-08-2023, 20:59 door Anoniem
Door Anoniem: SMS is dus wel veilig genoeg, maar het gemak waarmee een telefoonnummer kan worden overgenomen, is dus de grote risicofactor. Daar zou dus wat aan gedaan moeten worden op een voor de gebruiker aanvaardbare manier.
SMS was geheel niet veilig, zwakke encryptie en de mogelijkheid tot clonen. Misschien dat het met de recente standaarden is opgelost, maar toch...
11-08-2023, 21:45 door Anoniem
Ik adviseer tegen beveiliging gebaseerd op de Amerikaanse overheid.
12-08-2023, 09:22 door Anoniem
Nee, sms is niet veilig genoeg. Er zijn meerdere manieren om sms of telefoon gesprekken om te leiden. Zoek maar eens op SS7 (niet geautomatiseerd en in plaintext).
In combinatie met een inlognaam en wachtwoord is SMS veilig genoeg voor de meeste accounts.
Want iemand die misbruik wil maken van SMS zal dan ook je inlognaam en wachtwoord moeten weten.
13-08-2023, 21:37 door Anoniem
De LInux wereld heeft het beter begrepen. Daar loggen ze niet in met naam wachtwoord maar met bv RSA keys.
14-08-2023, 10:44 door Henri Koppen
Als je mensen waarschuwt dat MFA via SMS te zwak is moet je mensen ook wijzen dat veel providers een "fall back" optie hebben.

Voorbeeld: Je hebt in Google netjes MFA aan staan via en authenticator app en back-app codes. Bij het inloggen kun je kiezen voor "kies een andere manier". Als daar dan SMS nog tussen staat ben je dus net zo onveilig als dat je alleen voor SMS gekozen zou hebben.

Met andere woorden: Als je MFA aanzet voor een authenticator app, check dan ook of je fall back mechanisme van SMS uitzet!

Dit is niet intuitief voor mensen die niet security aware zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.