OAuth 2.0 is ook veel te complex om veiligheid te kunnen bieden.

Ik zag het van het weekend nog op Thunderbird bij mijn ouders. Elke keer als Thunderbird werd opgestart kwam er een groot scherm of ze wilden bewijzen dat ze geen robot waren (En dat ze waren wie ze zeiden dat ze waren, maar het was voornamelijk reCaptcha's invoeren en dat heeft niets met hun identiteit te maken).

Mijn ouders klikken dat weg. Ik heb het met hun hulp ingevuld. Maar ideaal voor phishing malware dat OAuth 2.0.

En zo is er steeds weer die link naar lage kwaliteit Microsoft software voor malware.

laat ik nou een antivirus paket hebben..ok

Je veilig wanen met een antivirus pakket... Dat zijn de gemakkelijkste slachtoffers.

Weet iemand de cve voor deze uit 2023 stammende aanval? Zou verwachten dat er sinds 2023 wel een fix is of vond NCSC/gchq het wel fijn om deze achterdeur ook 2 jaar voor zichzelf te hebben?

Dan beter via browser inloggen steeds ipv Thunderbird??

Op thunderbird? Hier onder Linux en Mac niet hoor.

Wat me echt verbaast: hoe kan het dat er na twee jaar (Authentic Antics werd in 2023 ontdekt) nog steeds geen duidelijkheid is over hoe deze malware zich verspreidt? Het NCSC noemt de dreiging serieus genoeg om opnieuw te waarschuwen, maar laat cruciale informatie achterwege. Hoe moeten organisaties en gebruikers zichzelf beschermen als ze niet weten via welk kanaal de infectie binnenkomt? Die onduidelijkheid is gevaarlijk, zeker omdat we het hier hebben over APT28, een groep die wordt gelinkt aan zeer gerichte en geopolitiek gemotiveerde aanvallen.

Het meest verontrustende aan dit verhaal is hoe slim deze malware inspeelt op vertrouwen in legitieme processen. Periodieke login-prompts lijken normaal, authenticatieverzoeken ook. Wie gaat daar vraagtekens bij zetten? Voeg daaraan toe dat de malware gebruikmaakt van Microsoft’s eigen authenticatiebibliotheken om zichzelf geloofwaardig te maken en je begrijpt hoe hoog de drempel is om dit te detecteren. Dit is social engineering en technische camouflage in één pakket.

Deze dreiging legt opnieuw bloot hoe afhankelijk organisaties zijn van cloudgebaseerde identiteits- en toegangssystemen. Zodra tokens en inloggegevens gecompromitteerd zijn, ligt de weg open naar alles: Exchange, SharePoint, OneDrive. Dat betekent dat één succesvolle aanval potentieel een complete digitale infrastructuur openbreekt. MFA helpt, maar alleen tot op zekere hoogte – zeker als sessietokens worden buitgemaakt.

De kernvraag is: doen we genoeg om deze dreigingen voor te zijn? Het voelt alsof we steeds achter de feiten aanlopen. Threat actors worden slimmer, geavanceerder en professioneler, terwijl basisdetectie en respons vaak tekortschieten. Misschien moeten we accepteren dat traditionele endpointbeveiliging niet langer volstaat en dat gedragsanalyse en zero-trust niet langer buzzwords, maar pure noodzaak zijn.

En eerlijk gezegd, als het NCSC écht wil dat organisaties zich wapenen, moet er meer komen dan een waarschuwing. Geef inzicht, deel indicators of compromise, leg uit hoe deze malware zich verspreidt. Want zonder die kennis blijft iedereen gissen – behalve de aanvallers, die precies weten wat ze doen.