Tweefactorbeveiliging lijkt ook al kraakbaar

Hengelen naar sessiekoekies

Zo hengelt de aanvaller naar sessiekoekies en vervolgens… (afb: Microsoft)

Beveiliging van digitale communicatie is steeds heftiger geworden. Op het ogenblik is de tweefactorbeveiliging je van het, is het idee. Dat zou onbevoegden definitief uitsluiten, maar Microsoft zegt ontdekt te hebben dat dat niet langer opgaat. Via een proxyserver zouden onbevoegden sessiekoekies (-scriptjes) kunnen stelen, waarnaar ze toegang tot je communicatiekanalen proberen te krijgen om, uiteindelijk, je ‘zakken’ te rollen.
Microsoft zou een methode hebben ontdekt om toegang te krijgen tot computers, waarbij zelfs de tweefactorbeveiliging zou kunnen worden omzeild. Volgens het Amerikaanse bedrijf zouden zeker tienduizend bedrijven en organisaties al op die nieuwe, illegale manier zijn belaagd. Daarbij zou gebruik gemaakt worden van de inmiddels welbekende hengeltechniek.
Meestal worden de slachtoffers/doelwitten daarbij verleid om op koppelingen te klikken die leiden naar gevelstekken die precies lijken op de officiële webstekken van, bijvoorbeeld, banken. Via die handeling ontvreemden de aanvallers vervolgens gevoelige aanmeldinformatie.
Dat zou met die tweefactorbeveiliging onmogelijk gemaakt worden. Nu zouden die neppagina’s worden aangeboden via een proxyserver. Vooral gebruikers van Office 365 van Microsoft schijnen het slachtoffer te zijn van deze aanval, die volgens Microsoft erg listig in elkaar zou zitten.

De belagers versturen een elektronisch bericht met een HTML-bestand. Als je de bijbehorende koppeling aanklikt dan wordt je naar die nepstek geleid. Tot nu toe niks dat anders is dan bij hengelen. Wat verandert ten opzichte van klassieke aanvallen is het gebruik van een proxy. De nepstek creëert twee sessies, één met het slachtoffer en één met de gekopieerde webstek en geeft de informatie door. Het enige verschil tussen de echte stek en de  gevelstek is dus het webadres.
Het slachtoffer meldt zich en die informatie wordt doorgegeven naar de officiële webstek. Als er een tweefactorbeveiliging is dan werkt dat normaal. Die officiële stek verstuurt vervolgens een sessiekoekie dat door de nepstek wordt gekopieerd en naar het slachtoffer wordt doorgestuurd. Vervolgens komt het slachtoffer op, in het geval van Microsoft, office.com terecht dankzij dat koekie.

Koekie

Het gaat de aanvaller om dat sessiekoekie. Dat bewijst dat de aangemelde is wie zijhij voorgeeft te zijn. Dan hoef je geen aanmeldingscodes meer te vragen als je naar een andere pagina gaat. Dat biedt de aanvaller mogelijkheden om op pagina’s terecht te komen die alleen bedoeld zijn voor de personen die daartoe gerechtigd zijn.
Dan begint de activiteit die de belagers voor ogen stond: je wat lichter te maken. Vijf minuten na het stelen van het sessiekoekie zou de aanvaller al in het Outlookprofiel van het slachtoffer kunnen zitten op zoek naar rekeningen of betalingen. Als de aanvaller dat eenmaal voor elkaar heeft dan kan de aanvaller zich voordoen als doelwit en berichten beantwoorden of of anderszins onheil stichten. Om niet ontdekt te worden door de eigenaar hebben makers van deze aanval een filter aan Outlook toegevoegd dat alle reacties van de correspondent archiveert en vervolgens alle verzonden berichten verwijdert.

Je zou je tegen deze koekiediefstal kunnen beschermen het aloude advies toe te passen: klik niet blind op koppelingen (kijk eerst welk webadres die koppeling heeft door alleen je aanwijzer op de koppeling te zetten). Microsoft raadt bedrijven aan om een voorwaardelijke toegang in te stellen, bijvoorbeeld op basis van de locatie van het IP-adres of de status van het gebruikte apparaat. Aan de gebruikerskant zou een wachtwoordbeheerder moeten volstaan ​​om te voorkomen dat je het slachtoffer wordt van dit soort aanvallen.

Bron: Futura-Sciences

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.