Mfa-bypass ontrafeld: waarom meerfactor-authenticatie niet volstaat

Gepubliceerd op 8 januari 2025 om 15:22

Reading in another language

Deze podcast is AI-gegeneerd. (Engels)

De schijnzekerheid van mfa

Meerfactor-authenticatie (MFA) staat al geruime tijd bekend als een krachtige manier om accounts beter te beschermen tegen ongewenste inlogpogingen. Zodra er naast een wachtwoord ook nog een extra verificatiecode, een pushbericht of een fysieke beveiligingssleutel nodig is, neemt de kans dat een cybercrimineel zomaar toegang krijgt immers aanzienlijk af. Toch waarschuwen recente rapporten dat deze extra beveiligingslaag lang niet zo ondoordringbaar is als vaak wordt gedacht. Zo blijkt dat maar liefst 89% van de ondervraagde beveiligingsprofessionals nog steeds gelooft dat MFA hen nagenoeg volledige bescherming biedt tegen accountovername, terwijl kwaadwillenden al meerdere beproefde methodes hebben ontwikkeld om MFA te omzeilen.

Wat deze waarneming extra zorgwekkend maakt, is de opkomst van zogenaamde phishing-as-a-service (PhaaS) platforms. Daarbij kunnen criminelen relatief eenvoudig kant-en-klare ‘phishingkits’ afnemen die specifiek zijn ontworpen om MFA te omzeilen. Er zijn cijfers die aantonen dat slechts één van deze frameworks (EvilProxy) al meer dan een miljoen aanvalspogingen per maand genereert. Deze schaal benadrukt de noodzaak om verder te kijken dan MFA alleen; een goede beveiligingsstrategie bestaat immers uit meerdere lagen en maatregelen die elkaar aanvullen.

Organisaties én individuele gebruikers hebben er alle baat bij om te begrijpen dat MFA een belangrijke, maar geen allesbepalende drempel is. Het succes van een beveiligingsoplossing wordt immers niet alleen bepaald door de techniek, maar ook door menselijk handelen en de procedures die daarachter schuilgaan. Een gebruiker die zich door MFA ‘onaantastbaar’ waant, let mogelijk minder op verdachte links of ongewone inlogverzoeken. En dat is precies waar cybercriminelen graag misbruik van maken: ze spelen in op de veronderstelling dat MFA altijd volstaat, waardoor de alertheid op andere fronten verslapt.

In dit artikel gaan we dieper in op de nieuwste ontwikkelingen rondom het omzeilen van MFA. We kijken naar de zes meest voorkomende aanvalstechnieken die momenteel worden ingezet, onderzoeken waarom MFA kwetsbaar kan zijn, en bespreken welke aanvullende verdedigingslagen je kunt toepassen om toch zo veilig mogelijk te blijven. Het doel is om in klare taal uit te leggen hoe geavanceerd en geraffineerd deze aanvallen zijn, maar vooral ook wat je kunt doen om het risico zo klein mogelijk te maken.

Zes aanvalstechnieken om mfa te omzeilen

Aanvallers hebben uiteenlopende strategieën ontwikkeld om MFA buitenspel te zetten. Soms zetten ze technische hoogstandjes in, soms maken ze juist gebruik van menselijk gedrag en verwarring. Hieronder een overzicht van zes methoden die de laatste tijd opduiken, met een korte toelichting op de tactiek en de risico’s.

  1. Phishingaanvallen
    De klassieke phishingmail is nog altijd verrassend effectief. Criminelen sturen een e-mail die lijkt te komen van een betrouwbare bron, met het verzoek ergens in te loggen. Zodra de gebruiker op de link klikt, opent zich een nagemaakte website die in alle opzichten lijkt op het origineel. Als de gebruiker vervolgens niet alleen zijn wachtwoord, maar ook zijn MFA-code invoert, kunnen de criminelen die gegevens direct doorsturen naar de echte website. Terwijl de gebruiker denkt keurig te zijn ingelogd, hebben de criminelen ondertussen een geldige sessie opgebouwd.

  2. Mfa-vermoeiingsaanvallen (mfa fatigue attacks)
    Dit type aanval maakt slim gebruik van de menselijke neiging om repetitieve, irritante verzoeken op een gegeven moment maar goed te keuren. Zodra een aanvaller iemands wachtwoord heeft buitgemaakt, kan hij een spervuur aan MFA-pushmeldingen naar het toestel van het slachtoffer sturen. De gedachte hierachter is dat het slachtoffer uit ongeduld of ergernis een keer op ‘toestaan’ drukt, puur omdat de aanhoudende notificaties vervelend zijn. Met één onoplettend moment staat de aanvaller binnen.

  3. Session hijacking
    Na een succesvolle login wordt er een sessiecookie aangemaakt, zodat de gebruiker niet telkens opnieuw hoeft in te loggen. Als een cybercrimineel via malware of andere methoden zo’n cookie in handen krijgt, is de MFA-fase al doorlopen en kan de crimineel de sessie direct overnemen. De gebruiker merkt hier vaak niets van, omdat de geldige sessie gewoon in stand blijft.

  4. Sim-swapping
    MFA-codes die via sms binnenkomen, kunnen worden onderschept als de aanvaller erin slaagt om het mobiele telefoonnummer van het slachtoffer over te laten zetten naar een eigen simkaart. Dit proces heet sim-swapping en verloopt meestal via social engineering: de crimineel doet zich bij de telecomprovider voor als de rechtmatige eigenaar en beweert bijvoorbeeld dat hij zijn telefoon is kwijtgeraakt. Zodra het nummer is overgezet, ontvangt de aanvaller alle sms-verificatiecodes.

  5. Social engineering
    Organisaties hebben vaak een IT-helpdesk waar gebruikers hun wachtwoord of MFA-instellingen kunnen resetten. Zonder goed doordachte verificatieprocedures kan een aanvaller deze route misbruiken door zich voor te doen als een medewerker die ‘dringend’ een reset nodig heeft. Als de helpdesk vervolgens niet om aanvullende bewijsstukken of persoonlijk contact vraagt, ligt de weg open voor accountovername.

  6. Adversary-in-the-middle-aanvallen
    Dit betreft tools of proxyservers die in real time alle inlogverkeer onderscheppen. Zodra de gebruiker denkt in te loggen op de juiste website, stuurt de crimineel de ontvangen gegevens direct door naar de echte site. De echte site keurt de MFA-code goed, terwijl de crimineel de sessietokens opvangt. Hierdoor kan de aanvaller een volledig geauthenticeerde sessie initiëren, ook zonder de originele MFA-code in bezit te hebben.

Uit dit overzicht wordt duidelijk dat MFA, hoe waardevol ook, niet onoverwinnelijk is. De meeste methodes maken gebruik van een combinatie van technische en menselijke factoren. Daarom is het essentieel om continu alert te blijven, ook wanneer je MFA ingezet hebt. Cybercriminelen zetten immers hun creativiteit en doorzettingsvermogen in om elke beveiligingsbarrière te omzeilen.

Wat maakt mfa kwetsbaar?

Waarom is MFA niet zo waterdicht als we hoopten? Het probleem schuilt deels in de aanname dat MFA een onfeilbaar systeem zou zijn. In werkelijkheid blijft MFA slechts één component in een bredere verdediging. Zodra mensen, organisaties of zelfs beveiligingsprofessionals te sterk vertrouwen op één enkele maatregel, ontstaat er een risicovolle blinde vlek.

Ten eerste is niet alle MFA even sterk. Wachtwoordgenerator-apps die een code tonen, sms-codes en pushnotificaties worden in veel organisaties als voldoende beschouwd, maar sommige varianten zijn gemakkelijker te misleiden dan andere. Sms-codes staan bijvoorbeeld bloot aan sim-swapping, terwijl pushnotificaties doelwit kunnen zijn van ‘MFA fatigue attacks’. Phishing-bestendige methoden, zoals hardware security keys (FIDO2) of biometrie, bieden een hoger beschermingsniveau. Deze methoden eisen in de regel een fysieke handeling of een uniek kenmerk (bijvoorbeeld een vingerafdruk), wat de kans op misbruik verkleint.

Daarnaast spelen mensen een cruciale rol. De gebruiker vormt vaak de zwakste schakel in het beveiligingsproces, juist omdat aanvallers weten dat inlogprocessen voor veel mensen een routineklus zijn. Een pushmelding kan daardoor blindelings worden goedgekeurd, of een medewerker van de helpdesk kan zich laten overtuigen door een verhaal van een ‘collega in nood’. Deze vormen van social engineering zijn lastig te bestrijden met alleen technische oplossingen. Regelmatige bewustwordingstraining en een duidelijke procedure voor identiteitsverificatie kunnen hierin echter veel verschil maken.

Bovendien is de schaal waarop cybercriminelen opereren, indrukwekkend. Met behulp van phishing-as-a-service is het opzetten van een grootschalige aanvalscampagne toegankelijker dan ooit. Door de wet van de grote getallen is er altijd wel een groep gebruikers of organisaties die op het verkeerde moment niet helemaal oplet, moe is of weinig kennis heeft van de nieuwste aanvalstechnieken. Dáár slaat de aanval toe.

Een ander aspect is dat criminelen zich voortdurend aanpassen. Waar MFA in het begin een bijna onneembare horde leek, hebben zij nu diverse methodes ontwikkeld om het te omzeilen. Het is dus geen kwestie van of er nieuwe bypass-strategieën verschijnen, maar wanneer. Met elke nieuwe beveiligingslaag die op grote schaal wordt geïmplementeerd, gaan criminelen op zoek naar een methode om die laag te doorbreken. Zo blijven beveiligingsmaatregelen en aanvalstechnieken elkaar als het ware opjagen in een digitale wapenwedloop.

Een gelaagde aanpak als tegenmaatregel

Om je te wapenen tegen het omzeilen van MFA is een zogenoemde ‘defense-in-depth’-benadering noodzakelijk. Hierbij stapel je meerdere beveiligingslagen op elkaar, zodat het compromis van één laag niet direct betekent dat de hele organisatie of het account op slot staat voor kwaadwillenden. Enkele cruciale componenten van zo’n gelaagde aanpak zijn:

  • Phishingbestendige mfa
    Niet alle MFA-tools zijn even robuust. Kies daarom bij voorkeur voor phishingbestendige methoden, zoals hardware security keys (FIDO2) of geavanceerde biometrische oplossingen. Deze oplossingen kunnen niet zomaar worden doorgestuurd, overgenomen of onderschept. Het gebruik van een fysieke sleutel voegt een tastbare drempel toe: een aanvaller moet letterlijk over het apparaat beschikken om toegang te krijgen.

  • Endpoint detection and response (edr)
    Door inzet van EDR-software kun je verdachte activiteiten op werkstations en andere apparaten snel identificeren en in de kiem smoren. Als er bijvoorbeeld wordt geprobeerd sessiecookies te stelen of er duikt plotseling onbekende malware op, dan kan het beveiligingsteam onmiddellijk actie ondernemen. Zo voorkom je dat criminelen ongemerkt rondneuzen in interne systemen.

  • Geavanceerde phishingbescherming
    Een flink deel van de moderne cyberaanvallen begint met een phishingmail. Door strenge filters, AI-gestuurde spamdetectie en real-time scanning van links en bijlagen te gebruiken, wordt een groot deel van de schadelijke berichten al geweerd voordat ze de eindgebruiker bereiken. Dit verkleint direct de kans dat iemand per ongeluk zijn inloggegevens en MFA-codes in verkeerde handen speelt.

  • Specifieke accountovernamebeveiliging
    Er zijn oplossingen die zich richten op het automatisch detecteren en blokkeren van verdachte inlogpogingen. Denk aan systemen die opmerken dat er ineens vanaf een ongebruikelijke locatie of met een onbekende browser wordt ingelogd. Zodra zo’n afwijking wordt gesignaleerd, kan het systeem directe actie ondernemen, zoals het blokkeren van het account, het intrekken van alle actieve sessies of het vragen om aanvullende verificatie.

  • Bewustwordingscampagnes en training
    Geen enkel technisch middel kan de fouten van onoplettende of onbekwame gebruikers helemaal compenseren. Reguliere training en phishing-simulaties helpen medewerkers om steeds alert te blijven. Door periodiek testmails te versturen die lijken op echte phishingaanvallen, wordt zichtbaar hoe goed gebruikers ermee omgaan. Dit leereffect is onmisbaar om de menselijke schakel in de beveiligingsketen te versterken.

  • Incidentresponsplan
    Ondanks alle voorzorgsmaatregelen kan er altijd iets misgaan. Dan is het cruciaal dat je een helder incidentresponsplan klaar hebt liggen. Zo weet iedereen in de organisatie wat de eerste stappen zijn bij een beveiligingsincident, wie welke bevoegdheden heeft en welke externe partijen je eventueel moet inschakelen. Door onder tijdsdruk gecoördineerd te handelen, kun je de schade na een inbraak vaak beperken.

Kortom, hoewel MFA een belangrijke barrière opwerpt, blijft het slechts een onderdeel van een breder beveiligingspalet. Geen enkele maatregel is onfeilbaar als hij op zichzelf staat. Door extra lagen toe te voegen, vergroot je de complexiteit voor aanvallers aanzienlijk. Het vraagt meer tijd, meer middelen en meer creativiteit om in te breken, waardoor de drempel hoger wordt en de kans dat ze afhaken of fouten maken, toeneemt.

Voorbereiding en reactie: lessen voor elke organisatie

Een geslaagde inbraakpoging is helaas nooit volledig uit te sluiten. Vandaar dat organisaties en gebruikers niet alleen moeten inzetten op preventie, maar ook op snelle detectie en een daadkrachtige respons wanneer er iets misgaat. Hier komt een goed plan voor Business Continuity en Disaster Recovery om de hoek kijken. Denk bijvoorbeeld aan:

  • Snel tokens intrekken
    Bij een vermoeden van diefstal van sessiecookies of inloggegevens is de eerste stap om alle actieve sessies onmiddellijk te beëindigen en te zorgen voor verplichte herauthenticatie. Hiermee haal je in één klap de meeste buitgemaakte tokens onderuit.

  • Passende logging en monitoring
    Om verdachte patronen (zoals inlogpogingen op bizarre tijden of vanaf ongewone locaties) tijdig te zien, is het belangrijk dat systemen zijn uitgerust met goede logging en monitoring. Een Security Information and Event Management (SIEM) platform kan hierbij helpen en opvallende gebeurtenissen koppelen, zodat een beveiligingsteam snel kan reageren.

  • Forensisch onderzoek
    Na een incident is het cruciaal om te reconstrueren hoe de aanval heeft kunnen plaatsvinden. Dit forensisch onderzoek biedt niet alleen inzicht in de gebruikte technieken, maar ook in eventuele zwakke plekken binnen de eigen organisatie. Met deze inzichten kun je maatregelen nemen om herhaling te voorkomen.

  • Regelmatige herziening van het beleid
    De wereld van cybercrime staat nooit stil. Het is dan ook noodzakelijk om beveiligingsbeleid en -procedures regelmatig te evalueren en te herzien. Nieuwe technologieën, veranderende werkwijzen en opkomende aanvalsvectoren maken aanpassingen in je defensieve strategie soms onontkoombaar.

  • Menselijke factor blijvend adresseren
    Medewerkers blijven het eerste contactpunt voor veel dreigingen. Een sterke beveiligingscultuur waarin mensen openlijk melding kunnen maken van verdachte situaties en elkaar durven te waarschuwen, is van onschatbare waarde. Laat personeel het gevoel hebben dat ze serieus worden genomen, zonder bang te zijn voor represailles bij een menselijke fout. Een dergelijke cultuur bevordert de algehele veiligheid.

Door al deze facetten samen te voegen in een samenhangende strategie, maak je het criminelen een stuk lastiger om een succesvolle aanval te plegen. Zo’n strategie is echter nooit ‘af’; beveiliging is een doorlopend proces van evalueren, verbeteren en trainen. MFA blijft een belangrijk onderdeel van deze puzzel, maar ook MFA is niet onfeilbaar.

In een tijd waarin hybride werken en digitale samenwerking steeds normaler worden, is het essentieel om te beseffen dat de grenzen tussen werk en privé vervagen. Dat betekent dat inloggegevens voor werkaccounts ook op privéapparatuur worden gebruikt (of andersom), en dat gegevensstromen door allerlei cloudomgevingen lopen. Deze complexiteit is een voedingsbodem voor diverse nieuwe aanvalstechnieken. Door je verdedigingsmechanismen daarop aan te passen, kun je je weerbaar opstellen tegen de golf van MFA-bypassaanvallen die we momenteel zien.

Uiteindelijk is de grootste les misschien wel dat beveiliging nooit statisch is: wat vandaag effectief lijkt, kan morgen achterhaald zijn. Een gedegen mix van technologie, menselijk bewustzijn en heldere procedures maakt het verschil tussen een geslaagde aanval en een poging die in de kiem gesmoord wordt. MFA is daarbij onmisbaar, maar zeker geen wondermiddel. Het is een waarschuwingssignaal voor alle beveiligingsverantwoordelijken: blijf voortdurend investeren in kennis, tools, en vooral ook in een cultuur waarin veiligheid een vanzelfsprekend onderdeel is van de dagelijkse praktijk.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

«