Vraag van de week: 2fa niet ondoordringbaar: een casus over lumma stealer en session hijacking

Deze podcast is AI-gegeneerd. (Engels)

Op Cybercrimeinfo ontvingen wij een belangrijke vraag die veel organisaties bezighoudt: "Hoe kunnen cybercriminelen twee-factor authenticatie (2FA) omzeilen? Kunt u een scenario beschrijven, zodat wij als organisatie kunnen beoordelen of we hierop voorbereid zijn?"

Twee-factor authenticatie is een veelgebruikte beveiligingsmaatregel die bedoeld is om de toegang tot accounts en systemen veiliger te maken. Hierbij wordt naast een wachtwoord een tweede vorm van verificatie vereist. Hoewel 2FA een belangrijke extra beveiligingslaag biedt, is het niet onoverkomelijk voor cybercriminelen. Deze ontwikkelen steeds geavanceerdere methoden om deze beveiliging te omzeilen.

In dit scenario bespreken we een situatie waarin cybercriminelen erin slagen 2FA te omzeilen. Door dit scenario te begrijpen, kunnen we als organisatie beter inschatten waar onze kwetsbaarheden liggen en welke maatregelen we kunnen nemen om ons beter te beschermen. Het is essentieel om op de hoogte te blijven van de nieuwste technieken en trends in cybercriminaliteit, zodat we onze beveiligingsstrategieën voortdurend kunnen aanpassen en verbeteren.

Het schijnbaar veilige proces van inloggen

In de hedendaagse digitale wereld is tweefactorauthenticatie (2FA) een van de belangrijkste beveiligingsmaatregelen geworden binnen organisaties. Medewerkers zijn inmiddels gewend geraakt aan het inloggen via meerdere kanalen en het invoeren van extra verificatiecodes, wat een gevoel van veiligheid geeft. Toch tonen recente incidenten aan dat zelfs deze robuuste beveiligingslaag door cybercriminelen kan worden omzeild. Dit artikel beschrijft een praktijkvoorbeeld waarin de lumma stealer, een gemene vorm van schadelijke software, wordt ingezet om sessie-cookies te stelen en zo de 2FA-beveiliging te omzeilen. Door dit scenario in detail te analyseren, wordt duidelijk dat organisaties, ongeacht hun hoge beveiligingsbewustzijn, kwetsbaar kunnen zijn voor geavanceerde aanvallen die inspelen op dagelijkse werkprocessen.

De aanval: slimme misleiding in de dagelijkse routine

Het verhaal begint op een gewone werkdag bij een bedrijf, dat we “Bedrijf X” noemen. Medewerkers van dit bedrijf loggen routinematig in op hun Microsoft Teams-omgeving, een proces dat inmiddels zo ingeburgerd is dat het als een vanzelfsprekend onderdeel van de dagelijkse werkprocedure wordt beschouwd. Iedere ochtend voeren zij hun gebruikersnaam, wachtwoord en de bijbehorende 2FA-code in om toegang te krijgen tot de bedrijfsapplicaties. Op een dag verschijnt er echter een nep-pop-upmelding op het scherm van een medewerker. De melding geeft aan dat de sessie is verlopen en dat hij opnieuw moet inloggen om Microsoft Teams te blijven gebruiken. De pop-up ziet er overtuigend uit en maakt gebruik van bekende kleuren, logo’s en typografie die passen bij de officiële Microsoft-stijl.

Doordat de melding precies aansluit bij de dagelijkse routine van de medewerker, wordt er weinig tot geen argwaan gewekt. De medewerker, die al vertrouwd is met de regelmatige inlogprocedures, klikt op de melding en wordt doorverwezen naar een inlogpagina die er op het eerste gezicht authentiek uitziet. De pagina is minutieus nagemaakt, met nauwkeurige details in de lay-out en tekst, zodat er geen directe aanwijzingen zijn dat het om een nepomgeving gaat. Zonder enige twijfel voert de medewerker zijn inloggegevens in en voltooit hij de 2FA-verificatie. Wat hij zich niet realiseert, is dat deze handeling de deur opent voor een gerichte aanval door cybercriminelen.

Werking van de lumma stealer: de onzichtbare inbreker

Direct nadat de inloggegevens zijn ingevoerd, verschijnt er een vervolgscherm waarin de medewerker wordt gevraagd een update voor de Microsoft Teams-plug-in te installeren. Deze melding is zorgvuldig vormgegeven en geeft de indruk dat het gaat om een noodzakelijke veiligheidsupdate, een actie die in de moderne IT-omgeving als normaal wordt beschouwd. Wat de medewerker echter niet weet, is dat deze “update” in werkelijkheid een gemaskeerde versie van de lumma stealer is,  een type malware dat specifiek is ontworpen om gevoelige data te verzamelen.

Zodra de medewerker op de updateknop klikt, wordt de lumma stealer op de achtergrond op de computer geïnstalleerd. Deze malware is bedreven in het subtiel en onopgemerkt werken. Meteen na installatie begint de lumma stealer systematisch het systeem te doorzoeken. Haar primaire doel is het verzamelen van gevoelige informatie zoals opgeslagen wachtwoorden, browsergeschiedenis en,  wat echter het meest cruciaal is,  sessie-cookies. Deze sessie-cookies vormen digitale “sleutels” die aantonen dat een gebruiker al succesvol is ingelogd en de 2FA-controle heeft doorlopen. De lumma stealer kopieert deze cookies en verzendt ze via een versleutelde verbinding naar een externe server, die volledig onder controle is van de aanvaller.

Het onopvallende karakter van deze malware zorgt ervoor dat de medewerker, zelfs na het uitvoeren van de update, geen directe symptomen opmerkt. De Teams-omgeving functioneert schijnbaar normaal en de gebruiker gaat verder met zijn werkzaamheden, zich niet bewust van de stille inbraak die op de achtergrond plaatsvindt.

Omzeiling van 2FA door session hijacking

De kern van deze aanval ligt in het concept van session hijacking, oftewel sessie-overname. Normaal gezien is 2FA bedoeld om een extra beveiligingslaag toe te voegen zodat zelfs als inloggegevens worden bemachtigd, de aanvaller zonder de extra verificatiecode niet kan inloggen. In dit scenario is de aanvaller echter in staat om deze beveiliging volledig te omzeilen door gebruik te maken van de gestolen sessie-cookies.

Doordat de sessie-cookies aantonen dat de medewerker reeds succesvol is ingelogd en de 2FA-stap heeft doorlopen, kan de aanvaller deze cookies injecteren in een eigen browser. Hierdoor krijgt de aanvaller dezelfde toegangsrechten als de legitieme gebruiker, zonder dat hij opnieuw een verificatieproces hoeft te doorlopen. Het systeem ziet de sessie als “gewoon” actief en laat de aanvaller ongestoord toegang krijgen tot gevoelige bedrijfsbronnen, zoals Microsoft Teams, e-mailaccounts en cloudopslag. Deze techniek van session hijacking maakt de aanval buitengewoon effectief, omdat het gebruikmaakt van legitieme authenticatiemiddelen die anders als veilig worden beschouwd.

Waarom cyberbewuste medewerkers toch kunnen vallen

Op het eerste gezicht lijkt het paradoxaal dat medewerkers die goed getraind zijn en alert zijn op cyberdreigingen alsnog slachtoffer kunnen worden van een dergelijke aanval. De verklaring ligt in de manier waarop de aanvaller inspeelt op de vertrouwdheid en routine van dagelijkse werkzaamheden. Medewerkers vertrouwen op het feit dat de inlogprocedure een vaste, veilige routine is. Ze verwachten bepaalde meldingen en updates, en dit vertrouwen wordt door de aanvaller bewust uitgebuit.

De nep-pop-upmelding en de nagemaakte inlogpagina zijn zodanig ontworpen dat ze nauwelijks te onderscheiden zijn van legitieme systemen. De melding voor een update is bovendien een alledaags verzoek in vele softwareomgevingen, waardoor de medewerker geen reden ziet om extra kritisch te zijn. Zelfs als men alert is op e-mailphishing, komt deze aanval via een andere weg binnen, waardoor de waarschuwingsmechanismen niet automatisch in werking treden. Het feit dat de aanval via een vertrouwde dagelijkse procedure loopt, ondermijnt de gebruikelijke argwaan die men bij onverwachte e-mails of verdachte links ontwikkelt.

De gevolgen van de aanval

De gevolgen van een succesvolle session hijacking zijn verstrekkend. Zodra de aanvaller toegang heeft gekregen tot het interne netwerk, kan hij vertrouwelijke documenten downloaden, interne e-mails lezen en bedrijfscommunicatie manipuleren. Dit leidt niet alleen tot directe datadiefstal, maar ook tot een aanzienlijke bedreiging voor de integriteit en vertrouwelijkheid van alle bedrijfsinformatie.

Bovendien kan de aanvaller laterale bewegingen maken binnen het netwerk. Dit betekent dat, met de initiële toegang tot één account, de aanvaller systematisch op zoek gaat naar andere kwetsbare systemen en accounts binnen de organisatie. Dit vergroot het potentieel voor verdere schade, zowel op financieel als op operationeel vlak. In ernstige gevallen kan een dergelijke inbraak leiden tot langdurige schade, waarbij bedrijfsgeheimen en strategische informatie in handen komen van cybercriminelen.

Naast de technische en operationele schade, vormt zo’n inbreuk ook een groot reputatierisico voor het getroffen bedrijf. Klanten, zakenpartners en toezichthouders moeten op de hoogte worden gebracht van datalekken, wat kan leiden tot een verlies van vertrouwen en een beschadigd imago. In de huidige markt, waarin cybersecurity een cruciale rol speelt in de reputatie van een organisatie, kan dit ernstige consequenties hebben voor de lange termijn.

Preventiemaatregelen en de weg vooruit

De casus illustreert duidelijk dat geen enkele beveiligingsmaatregel volledig waterdicht is. Organisaties dienen daarom te kiezen voor een meerlagige beveiligingsstrategie die zowel technologische als menselijke elementen omvat. Medewerkers moeten continu worden getraind om alert te blijven op alle vormen van cyberdreiging, niet alleen de traditionele phishingaanvallen. Het herkennen van verdachte pop-ups, het kritisch beoordelen van inlogpagina’s en het altijd verifiëren van software-updates via officiële kanalen zijn essentiële stappen om de kans op succesvolle aanvallen te verkleinen.

Technologische maatregelen spelen eveneens een cruciale rol. Geavanceerde endpoint-beveiliging en monitoring kunnen helpen bij het detecteren van afwijkend gedrag, zoals het ongewenst exfiltreren van sessie-cookies. Software die gedragsanalyses uitvoert kan bijvoorbeeld signaleren wanneer een applicatie ongebruikelijke toegangspogingen onderneemt. Daarnaast kan het regelmatig afsluiten van sessies en het verkorten van de sessieduur de bruikbaarheid van gestolen cookies verminderen, waardoor de aanvaller minder tijd heeft om misbruik te maken van de toegang.

Verder is het van belang dat organisaties strikt beleid hanteren met betrekking tot software-installaties en updates. Medewerkers moeten worden geïnstrueerd om geen software of updates te downloaden via onbekende of onofficiële bronnen. In plaats daarvan moet elke update door de IT-afdeling worden gecontroleerd en gevalideerd. Dit voorkomt dat malafide updates, zoals die welke de lumma stealer bevatten, onopgemerkt op bedrijfscomputers worden geïnstalleerd.

Tot slot moeten bedrijven periodiek hun beveiligingsprotocollen evalueren en updaten. De dreigingsomgeving verandert voortdurend, en cybercriminelen ontwikkelen steeds nieuwe technieken om bestaande maatregelen te omzeilen. Door regelmatig audits uit te voeren en het beveiligingsbeleid aan te passen aan de nieuwste dreigingen, kunnen organisaties beter voorbereid zijn op toekomstige aanvallen.

Voortdurende waakzaamheid als sleutel tot veiligheid

De casus van de lumma stealer en session hijacking laat zien dat zelfs organisaties met een hoog beveiligingsbewustzijn niet immuun zijn voor doordachte aanvallen. Ondanks de implementatie van 2FA en andere robuuste maatregelen, kunnen cybercriminelen via gestolen sessie-cookies toegang krijgen tot interne systemen en gevoelige data stelen. Deze aanval benadrukt dat het vertrouwen in dagelijkse routines, zoals het herhaaldelijk inloggen op Microsoft Teams, een potentiële zwakke schakel kan vormen wanneer deze wordt uitgebuit door kwaadwillenden.

Het incident onderstreept het belang van een integrale beveiligingsstrategie waarin zowel technologische oplossingen als voortdurende training en bewustwording van medewerkers centraal staan. Alleen door het combineren van deze elementen kunnen organisaties effectief inspelen op de steeds evoluerende methoden van cybercriminelen. Continu alert blijven en investeren in zowel de technische infrastructuur als in de menselijke factor vormen de sleutel tot een solide verdediging tegen geavanceerde cyberaanvallen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt. Heb je advies of hulp nodig? Digiweerbaar