MFA Hack: Denk jij veilig in te loggen met je vingerafdruk of code die je op je smartphone ontvangt?

Het aantal accounts waarop we moeten inloggen stijgt alsmaar. Dat zijn allemaal inlognamen en wachtwoorden die we moeten onthouden, het liefst sterke wachtwoorden. Eigenlijk niet meer te doen voor gebruikers. Voor het gemak en overzicht gebruik je voor meerdere accounts dezelfde inlog en wachtwoord, terwijl je weet dat je het een kwaadwillende wel erg gemakkelijk maakt op deze manier. Toch zijn er veel onder ons die het beter doen. Ze maken gebruiken van wachtwoordmanagers in een hun browser of besturingssysteem, deze beheren en onthouden je wachtwoorden en kunnen nieuwe sterke wachtwoorden voor je bedenken. Om het inloggen op diensten en accounts nog een stap veiliger te maken is de afgelopen jaren MFA, Multifactorauthenticatie steeds meer de standaard aan het worden. Het is een extra beveiligingslaag boven op je normale inlog. Je verifieert je identiteit extra door bijvoorbeeld een code in te voeren die je ontvangt op je smartphone of door een scan van je vingerafdruk of gezicht. Veilig toch? Men kan namelijk niet zomaar gebruik maken van jouw smartphone, laat staan van jouw vingerafdruk… Helaas dat kan wel!

MFA - Multifactorauthenticatie

MFA voegt een beveiligingslaag of factor toe aan het aanmeldingsproces om jou als gebruiker te identificeren. Wanneer je toegang wilt tot een account, systeem of applicatie, verifieer je jouw identiteit extra met één of meerdere van onderstaande factoren: 

• Iets dat je weet (bijvoorbeeld een wachtwoord of pincode)
• Iets dat je bezit (bijvoorbeeld een pasje, e-mailadres of smartphone) 
• Iets dat je bent (bijvoorbeeld een vingerafdruk, irisscan of gezichtsscan)
• Locatie (bijvoorbeeld alleen toegang vanaf een bepaalde plek of geografische locatie) 
• Tijd (maakt het mogelijk om toegang te beperken tot bepaalde tijdstippen)

MFA-hack

Hoewel MFA het inloggen een stuk veiliger maakt, is ook MFA geen waterdichte beveiligingsmethode. We zien zelfs een forse toename in MFA hacks. Cybercriminelen maken gebruik van AitM (Adversary-in-the-Middle) phishing-aanvallen. Via een phishing e-mail wordt een gebruiker na een nagemaakte inlog pagina geleid, de AiTM phishing-pagina. Door in te loggen onderschept men de inlognaam en wachtwoord. Vervolgens wordt men geleidt naar de werkelijke MFA van de originele website. Met het voltooien van dit MFA-proces wordt een sessie-cookie aangemaakt. Deze wordt ook door de aanvaller buit gemaakt. Met behulp van deze sessie cookie kunnen de hackers in hun browser het MFA-proces omzeilen. Ze loggen in met enkel de inlognaam en wachtwoord die eerder is onderschept met behulp van de phishing-pagina. 

Hoe voorkom ik een MFA-hack

Een MFA-hack voorkom je door de phishing e-mail te herkennen. Een spamfilter zou er kunnen onderscheppen en virusscanners kunnen phishing-pagina’s herkennen. Maar wees er bewust van dat een phishing e-mail je mailbox wel kan bereiken en dat een phishing-pagina niet altijd door een virusscanner herkend wordt. Het is dan zaak dat je zelf deze als phishing herkent. Wees alert op iedere mail die jou ergens op wilt laten klikken, zoals een button of een tekst-link en wees extra alert op vragen waarbij je opnieuw dient in te loggen. Sommige mails zijn gemakkelijk te herkennen door een afwijkende huisstijl, tone of voice, spelfouten of door een vreemde zinsopbouw. Lees meer over ‘Hoe herken ik een phishing e-mail?’ bij Digital Trust Center van het Ministerie van Economische zaken en Klimaat. 

Veilige authenticatie 

De Amerikaanse regering heeft al actie ondernomen tegen MFA-hack of MFA-phishing. Vanaf 2024 moeten alle overheidsinstellingen gebruik maken van phishing-bestendige MFA. De MFA moet dan gebruik maken van de FIDO2 standaard. Ook de techreuzen Apple, Google en Microsoft hebben aangekondigd om deze standaard snel te implementeren. Met FIDO2 maakt de MFA gebruik van unieke versleutelde inloggevens die niet hergebruikt kunnen worden. Door versleuteling van de inloggegevens wordt het moeilijk om deze gegevens uit te lezen. Daarnaast kunnen deze gegevens niet opnieuw gebruikt worden. Dus de hacker kan niet opnieuw met deze gegevens inloggen. 

Veilig inloggen bij Invision ICT

Bij Invision ICT raden we altijd aan om gebruik te maken van MFA, het liefst met FIDO2 standaard. Heb je vragen over MFA, FIDO2, spamfilter of virusscanner. Mail, bel ons of laat hieronder jouw gegevens achter en wij nemen contact met je op.