Ontdek hoe hackers MFA omzeilen met adversary-in-the-middle

In dit artikel:

Rutger Flohil en Bob van der Staak, beide red teamers bij de NS, bespreken in een aflevering van Techzine Talks hoe moderne cyberaanvallen verlopen en wat organisaties ertegen kunnen doen. Ze benadrukken dat phishing nog steeds de bron is van zo’n 60% van de succesvolle inbraken, maar dat aanvallen veel geavanceerder zijn geworden dan vroeger.

Red teaming versus traditioneel hacken
In plaats van alleen naar technische kwetsbaarheden te zoeken, simuleren red teamers volledige aanvalspaden zoals echte daders dat doen: binnenkomen via mensen (phishing/social engineering), lateraal bewegen binnen netwerken en proberen persistente toegang te vestigen. Dit werk gebeurt altijd binnen strikte afspraken met opdrachtgevers (rules of engagement).

Adversary‑in‑the‑middle en de zwakte van MFA
Een belangrijk aandachtspunt is de adversary‑in‑the‑middle (AITM)-aanval: een proxy‑website die legitieme inlogpagina’s doorstuurt naar het echte platform en zo gebruikersgegevens en MFA‑sessietokens onderschept. Omdat gebruikers een authentiek ogende pagina en geldige MFA‑prompts zien, is vaak niet meteen duidelijk dat iets mis is. De red teamers lieten zien dat geautomatiseerde aanvallen binnen enkele seconden persistente toegang kunnen creëren op meerdere platforms en zelfs automatische Outlook‑regels instellen om waarschuwingen te verbergen. Daarmee is alleen het resetten van een wachtwoord vaak onvoldoende, zeker als er extra credentials (bijv. SSH‑sleutels) buitgemaakt zijn.

Problemen met domeinnamen en typosquatting
De inconsistentie in Microsoft‑domeinen (login.microsoftonline.com versus account.live.com, microsoft.cloud, etc.) vergemakkelijkt typosquatting en punycode‑misleiding. Kleine visuele verschillen maken het voor gebruikers lastig om nep‑sites te herkennen, zeker op mobiele schermen.

Aanbevolen verdedigingslagen
- Gebruik phishing‑resistente authenticatie: FIDO‑keys (hardware‑sleutels) en passkeys bieden sterkere bescherming omdat ze domeinbinding hebben en niet door een proxy kunnen worden hergebruikt.
- Implementeer conditional access: controleer apparaatcompliance, IP, locatie, tijd en gedrag; geregistreerde en compliant apparaten zijn veel veiliger.
- Monitoring en detectie: snelle automatische acties van aanvallers vereisen proactieve detectie en incidentrespons.
- Security‑cultuur: moedig melden aan in plaats van beschuldigen; simulatie‑resultaten worden op groepsniveau gedeeld, niet individueel.
- Wachtwoordbeleid: volg de AIVD‑aanbeveling om niet routinematig wachtwoorden te laten roteren; gebruik lange, unieke passphrases en wijzig alleen bij een concreet incident.

Balans en realiteit
Er is altijd een trade‑off tussen veiligheid en gebruiksgemak; te strenge maatregelen leiden tot frustratie en omzeilgedrag. Voor de meeste phishingcampagnes maakt een gelaagde verdediging (betere MFA, device‑controle, monitoring en awareness) het verschil. Voor zeer gerichte, staatsondersteunde aanvallen blijft volledige veiligheid lastig, maar veel organisaties kunnen zichzelf aanzienlijk veiliger maken door de genoemde maatregelen te nemen.

De aflevering is beschikbaar via Techzine Talks (Spotify, Apple Podcasts, YouTube).