Vanuit de security wereld worden mensen al langere tijd gestimuleerd om gebruik te maken van “Multi Factor Authenticatie” (MFA) bij het inloggen in bijvoorbeeld een applicatie. Met MFA creëer je een extra beveiligingslaag waardoor het voor onbevoegden moeilijker wordt om in een account binnen te dringen. Bij gebruik van MFA moet je bij het inloggen (naast je gebruikersnaam en wachtwoord) een “extra factor” invoeren. Deze extra factor is een code die iedere keer dat je inlogt anders is. Die code kun je tijdens het inloggen op je telefoon aflezen. Je kunt de code ontvangen via SMS of aflezen in een autorisatie-app. Het voordeel van MFA is natuurlijk dat onbevoegden niet kunnen inloggen met uitsluitend jouw gebruikersnaam en wachtwoord. Zonder die benodigde “extra factor” gaat dat niet lukken. En om die extra factor te verkrijgen moeten ze toegang hebben tot jouw telefoon.
So far so good … of toch niet?
MFA is een prima oplossing om je internet-accounts (bijv. de websites die je regelmatig bezoekt) of je applicaties beter te beschermen. Als je je telefoon goed beschermt tegen diefstal of verlies heb je dan een mooie extra laag van bescherming aangebracht. Er zijn steeds meer internet accounts en applicaties die MFA ondersteunen. Om MFA te gebruiken hoef je vaak niets meer te doen dan een “vinkje” aanzetten bij de security-instellingen van je applicatie of van een internet-account/website. Het advies is dan ook om MFA te gebruiken waar dat kan. Toch zijn cybercriminelen soms in staat om die extra bescherming te doorbreken. En daarvoor gebruiken ze een slimme truc waarbij ze (net als bij andere aanvalstechnieken) misbruik maken van een bekende zwakke schakel: de mens!
MFA-bombing
Er bestaan verschillende MFA-oplossingen met verschillende methodes om als gebruiker toestemming te geven aan een inlogpoging op een website of een applicatie. Zoals eerder genoemd kan dat bijvoorbeeld gebeuren door een code in te voeren die je op je telefoon (via SMS of in een autorisatie-app) ontvangt. Als je de juiste code invoert is de inlogpoging geslaagd.
Er zijn echter ook MFA methodes waarbij je op je telefoon alleen maar gevraagd wordt om toestemming te geven om in te loggen. Die toestemming geef je dan door op een “Toestaan” knop te drukken. Bij deze methode schuilt er echter wel een risico dat cybercriminelen gebruik maken van “MFA-bombing” om de gebruikers (ongewild) te laten klikken op de “toestaan” knop op hun telefoon.
Hoe werkt het?
In het geval dat cybercriminelen met hun criminele activiteiten jouw inlog gegevens (gebruikersnaam en wachtwoord) te pakken hebben gekregen proberen ze met die inlog gegevens in te loggen in diverse accounts en/of applicaties. Voor die accounts en applicaties waar gebruik gemaakt wordt van MFA met uitsluitend een toestemming-knop om een inlogpoging goed te keuren zal de gebruiker dus op zijn telefoon een melding ontvangen om de inlogpoging goed te keuren door op de “toestaan-knop” te drukken.
De gebruiker zal dat in eerste instantie niet doen. Maar als een gebruiker meerdere keren per dag zo’n melding ontvangt wordt het op een gegeven moment irritant. Als dat dan een paar dagen doorgaat komt het risico op een “zwak moment” van de gebruiker dan nabij … door irritatie of door een moment van onoplettendheid is een druk op die “toestaan-knop” op de telefoon dan snel gezet en krijgen de cybercriminelen toegang tot de betreffende account of applicatie.
Wat kun je hiertegen doen?
Als je MFA instelt voor een Internet-account (website) of een applicatie en je kunt kiezen op welke manier je een inlogpoging moet goedkeuren, kies dan voor de manier waarbij je een code moet invoeren die je op je telefoon ontvangt via SMS of via een autorisatie-app. De voorkeur is om gebruik te maken van zo’n autorisatie-app.
Awareness – Awareness – Awareness.
Iedereen moet sowieso voorzichtig zijn met het aanklikken van knoppen. Zéker als ze onverwacht verschijnen. Het beste is natuurlijk om helemaal niet te klikken, dus ook niet op de knop waarmee je de inlogpoging afkeurt.
Bewuste mensen zijn weerbaar en maken een organisatie waarin ze werken ook weerbaar. Dat verlaagt het aantal incidenten en datalekken.
Ik kom graag in gesprek over de mogelijkheden om de security awareness in uw organisatie te vergroten. Hiervoor zijn diverse mogelijkheden, waaronder leuke en informatieve security awareness presentaties/training.
Met vragen is uiteraard iedereen welkom!
Reactie plaatsen
Reacties