Voor alle gebruikersaccounts en diensten moet multifactorauthenticatie (MFA) worden gebruikt, maar alleen als het echter niet anders kan via sms. In plaats daarvan is het beter om met fysieke tokens zoals een security key te werken, zo adviseert het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security (pdf).
Volgens het CISA is het gebruik van MFA "essenteel" om misbruik van gestolen inloggegevens tegen te gaan en ongeautoriseerde toegang tot netwerken te voorkomen. Niet alle varianten van MFA zijn echter even veilig. De afgelopen maanden zijn er meerdere grote incidenten geweest waarbij aanvallers erin slaagden om de tweede factor vereist voor het inloggen met gestolen inloggegevens te bemachtigen of omzeilen, bijvoorbeeld door aangevallen medewerkers inlogpogingen via hun telefoon goed te laten keuren.
Een dergelijke aanval wordt ook wel "MFA Fatigue" genoemd. Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang krijgt. Op deze manier werden onder andere Cisco en Uber gecompromitteerd. Ook komt het voor dat MFA-codes op phishingsites worden ingevoerd, waarmee de aanvaller vervolgens kan inloggen.
Het CISA roept dan ook op tot het implementeren van "phishingbestendige MFA". Daarbij wordt het gebruik van een fysiek token, zoals een usb-gebaseerde security key, of PKI-gebaseerde MFA als "gouden standaard" bestempeld. Deze MFA-methodes zijn namelijk niet kwetsbaar voor MFA Fatigue of het onderscheppen van inlogcodes, aangezien er alleen door middel van een fysiek object kan worden ingelogd. Zo is bijvoorbeeld sms-gebaseerde MFA kwetsbaar voor phishing, sim-swapping en SS7-aanvallen, aldus de Amerikaanse overheidsinstantie.
SS7 is een protocol dat de meeste telecombedrijven gebruiken om onderling met elkaar te communiceren. Het wordt onder andere gebruikt voor bellen vanuit en naar het buitenland, sms en roaming. Er zijn verschillende manieren voor kwaadwillenden om toegang tot SS7 te krijgen, onder andere via bedrijven die tegen betaling de mogelijkheden van SS7 misbruiken. Zodra er toegang is verkregen kan een aanvaller gesprekken en sms-berichten onderscheppen door "call forwarding" in te schakelen. Inkomende gesprekken worden zo naar zijn nummer doorgeschakeld.
Volgens het CISA is het belangrijk om voor "high-value targets" en belangrijke systemen phishingbestendige MFA in te schakelen. De overstap naar deze MFA-methode kan echter lastig zijn, aldus de overheidsinstantie. Zo zullen niet alle systemen phishingbestendige MFA ondersteunen, is het lastig om deze MFA-vorm tegelijkertijd onder alle medewerkers uit te rollen en kan het personeel weerstand tegen een dergelijke migratie hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.