MFA werkt niet tegen phishing aanvallen

De afgelopen jaren zijn de risico’s rond phishing flink toegenomen. Uit onderzoek blijkt dat het aantal phishing-aanvallen het afgelopen jaar met 29% steeg, en vooral groothandelaren en retailers waren het haasje. Veel van deze phishing-aanvallen maakten misbruik van alle verwarring rond de coronacrisis en de gedwongen overstap op thuiswerken. De Amerikaanse regering neemt de bedreiging van phishing zelfs zo serieus dat het van overheidsinstellingen eist dat ze vanaf 2024 gebruikmaken van phishing-bestendige multi-factorauthenticatie (MFA). In Nederland zijn we nog niet zover, maar hopelijk zet het Digital Trust Center (DTC) dit binnenkort op de kaart.

Wat is phishing-bestendige MFA?
De naam geeft het al aan: phishing-bestendige MFA kan zelfs niet door de meest geavanceerde phishing-aanval worden aangetast. Hierbij kunnen cybercriminelen geen aanmeldingsgegevens buitmaken zoals reguliere wachtwoorden, eenmalige wachtwoorden, antwoorden op beveiligingsvragen en onderschepbare push-meldingen.
Op wachtwoorden gebaseerde MFA-oplossingen stoppen phishing niet
De meeste phishing-campagnes hebben ten doel om gebruikersaccounts te kapen. In theorie zou MFA daar bescherming tegen moeten bieden door naar verschillende authenticatiefactoren te vragen. Maar in de praktijk is dat niet zo eenvoudig.

De meeste MFA-oplossingen maken gebruik van een combinatie van een wachtwoord en “iets wat je in je bezit hebt”. Vaak gaat dit om een eenmalig wachtwoord dat naar de gebruiker wordt verzonden in een sms- of e-mailbericht en vervolgens in een inlogpagina moet worden ingevoerd. Het probleem is dat moderne phishing-campagnes in staat zijn om ook deze aanvullende aanmeldingsgegevens buit te maken.
Zo kunnen cybercriminelen een inlogpagina nabootsen. Als een gebruiker een eenmalig wachtwoord ontvangt en dat samen met zijn reguliere wachtwoord in deze phishing-site invoert, beschikken de cybercriminelen over alle aanmeldingsgegevens die zij nodig hebben om zich aan te melden als de legitieme gebruiker.

Lastig aanmeldingsproces zorgt voor beschermingsproblemen
Dit is slechts een van de manieren waarop MFA-oplossingen op basis van wachtwoorden kan worden omzeild door middel van phishing-trucs. Als gebruikers überhaupt al bereid zijn om MFA in te schakelen. Want de noodzaak om een code te laten genereren en die op te vissen uit een sms-bericht, een e-mail of een authenticatie-app maakt het aanmeldingsproces er een stuk lastiger op. Vanwege dit allerminst soepele proces kunnen gebruikers volledig afzien van het gebruik van MFA. Daarmee gooien ze alle bescherming tegen phishing die MFA te bieden heeft overboord. Ironisch genoeg zet datgene wat het aanmeldingsproces veiliger zou moeten maken gebruikers ertoe aan om voor een minder veilig alternatief te kiezen.

Deze MFA-oplossingen scharnieren dus nog altijd op het gebruik van wachtwoorden. En die vormen een uiterst zwakke authenticatiefactor. Wachtwoorden worden aan de lopende band hergebruikt, gestolen en op onveilige wijze opgeslagen. Zodra cybercriminelen erin slagen om een wachtwoord buit te maken hoeven ze alleen nog maar een sms-bericht of e-mail met een magische link te onderscheppen om toegang tot bedrijfskritische data te krijgen. En dat kan organisaties op hoge kosten te komen staan.

De wachtwoordloze MFA van Beyond Identity biedt krachtige bescherming tegen phishing door gebruik te maken van authenticatiefactoren die argeloze gebruikers niet aan cybercriminelen kunnen verstrekken.
Beyond Identity ruilt zwakke factoren op basis van “iets wat je weet” in voor sterke authenticatiefactoren die cybercriminelen niet kunnen bemachtigen:
• Lokale biometrie: Mobiele apparaten bieden tegenwoordig ingebouwde biometrische scanners voor gezichts- en vingerafdrukherkenning. Deze “iets wat je bent”-factoren vertegenwoordigen een krachtiger authenticatiefactor dan een combinatie van een regulier wachtwoord en een eenmalig wachtwoord. Dit zorgt bovendien voor een veel soepeler aanmeldingsproces.
• Cryptografische beveiligingssleutels: Encryptiesleutels die op een door je organisatie goedgekeurd apparaat zijn opgeslagen vertegenwoordigen een phishing-bestendige “iets wat je hebt”-factor. Ze geven aan dat een gebruiker zich aanmeldt vanaf een vertrouwd apparaat. Phishing-aanvallen krijgen op die manier geen kans.
• Beveiligingscontroles op apparaatniveau: Beyond Identity biedt niet alleen veilige MFA, maar controleert ook tot welke IT-bronnen apparaten toegang proberen te zoeken (data, applicaties, cloudomgevingen enzovoort) en wat de beveiligingsstatus van die apparaten is. Dit maakt het mogelijk om na te gaan of verzoeken voldoen aan de beveiligingsregels en gevoelige data, applicaties en systemen te beschermen tegen gehackte, met malware besmette of anderszins onveilige apparaten.

Maak het authenticatieproces makkelijk
De wachtwoordloze MFA van Beyond Identity maakt een einde aan het gevaar van phishing omdat cybercriminelen geen reguliere en eenmalige wachtwoorden buit kunnen maken met phishing-trucs. Beyond Identity biedt bovendien veel soepeler authenticatie: gebruikers hoeven niet langer wachtwoorden te onthouden of op eenmalige wachtwoorden te wachten om die vervolgens in te moeten voeren in een inlogpagina. In plaats daarvan inspecteert de MFA-oplossing het toegangsverzoek op de aanwezigheid van tientallen risicosignalen en vraagt die de private encryptiesleutel van het apparaat van de gebruiker op. De gebruiker kan zich vervolgens laten authenticeren op basis van een vingerafdruk of andere biometrische factor.