MFA-tokens onderschept bij phishingaanval op gemeente Den Haag
Bij de phishingaanval op de gemeente Den Haag die vorige week plaatsvond zijn ook de tokens voor multifactorauthenticatie (MFA) onderschept, zo laat een woordvoerder van de gemeente tegenover Security.NL weten. "Onbekenden hadden op 25 september 2024 kort toegang tot drie e-mailaccounts van de gemeente. MFA heeft gewerkt en ook strong authentication afgedwongen. Bij deze aanval zijn via een phishinglink zowel username, password als MFA-tokens onderschept, waardoor in de korte tijd dat deze accounts waren overgenomen en de bewuste phishingmails zijn verstuurd", aldus de woordvoerder.
De gemeente heeft het incident bij de Autoriteit Persoonsgegevens gemeld. Of er ook persoonsgegevens gestolen zijn kan de gemeente niet uitsluiten. "Er is vanuit deze accounts e-mail verstuurd en daar lijkt het bij gebleven. Het is niet met honderd procent zekerheid te zeggen dat de dader ook e-mails met verdere mogelijke persoonsgegevens in de accounts heeft gelezen, maar gezien de modus operandi lijkt het een 'standaard' phishingmail-actie."
Hoe komen ze daar nu bij? Ik begreep dat ze in de mail zelfs naar dossier nummers verwezen. Dit is dan geen standaard phishing mail, maar een actie waar voortgeborduurd wordt op gegevens uit reeds bestaande mail.
Maar wel jammer dat er geen logging is op gelezen emails.
Tevens begrijp ik niet dat ze het e.e.a niet kunnen uitsluiten.
Unfied Audit Logging zie je precies wat er wel of niet gebeurd is.
Echter is MFA via mail adres of SMS eigenlijk iets wat af te raden is. Het liefst kan je beter een Authenticator hebben voor je token. Liefst nog op een ander device.
E-mail als recovery is ook iets wat ik nooit zou aanraden zonder token. Helaas kan het soms niet anders. Er blijft altijd een zwak punt ergens.
Maar ga vooral door met Haarlemmerolie promoten.
Echter is MFA via mail adres of SMS eigenlijk iets wat af te raden is. Het liefst kan je beter een Authenticator hebben voor je token. Liefst nog op een ander device.
E-mail als recovery is ook iets wat ik nooit zou aanraden zonder token. Helaas kan het soms niet anders. Er blijft altijd een zwak punt ergens.
Enkel wanneer je in je voorwaardelijke toegang beleid werkt met sign-in frequency. Een (PRT) token is langer geldig dan je je zou denken. Deze is namelijk standaard 14 dagen geldig en wordt automatisch verlengd wanneer de gebruiker actief is op het apparaat.
https://learn.microsoft.com/en-us/entra/identity/devices/concept-primary-refresh-token
Zie: https://learn.microsoft.com/nl-nl/entra/identity-platform/configurable-token-lifetimes
Daarnaast is er software zoals het programma Evilginx die in staat is om usernaam/paswword en token te onderscheppen.
Dit is natuur even simpel gesteld.
Het is allemaal niet zo simpel en niks is veilig zolang mensen zich niet bewust zijn van hun handelen.
Alees valt of staat met bewust zijn.
Ik denk dat het wat onduidelijk omschreven is. Ik vermoed dat namelijk dat het gaat om een token, inclusief MFA claim. De aanvaller kan dus hierdoor alles wat ontsloten is via SSO en/of een MFA requirement heeft omzeilen, tenzij er een sign-in frequency is ingesteld, of bijv. een authentication strength wordt vereist.
https://learn.microsoft.com/en-us/entra/identity/devices/concept-primary-refresh-token#when-does-a-prt-get-an-mfa-claim
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.