Hackers maken steeds vaker gebruik van social engineering-aanvallen om toegang te krijgen tot bedrijfsgegevens en in te breken in grote netwerken. Een onderdeel van deze aanvallen dat steeds populairder wordt door de opkomst van multifactorauthenticatie (MFA) is een techniek die MFA-moeheid wordt genoemd. Bij het inbreken in bedrijfsnetwerken gebruiken hackers vaak gestolen inloggegevens van werknemers om toegang te krijgen tot VPN’s en het interne netwerk.
De realiteit is dat het verkrijgen van bedrijfsreferenties verre van moeilijk is voor hackers, die verschillende methoden kunnen gebruiken, waaronder phishingaanvallen, malware, uitgelekte referenties uit datalekken, of het kopen ervan op het darkweb.
Om dit tegen te gaan, hebben ondernemingen steeds vaker gekozen voor MFA om te voorkomen dat gebruikers op een netwerk inloggen zonder eerst een extra vorm van verificatie in te voeren. Deze extra informatie kan bestaan uit een eenmalige wachtwoordcode, een prompt waarin wordt gevraagd de inlogpoging te verifiëren of het gebruik van hardwarebeveiligingssleutels.
MFA Spam
Een social engineering-techniek genaamd ‘MFA Fatigue’, ook wel ‘MFA push spam’ genoemd, wordt steeds populairder omdat er geen malware of phishing-infrastructuur voor nodig is en de techniek heeft bewezen succesvol te zijn bij aanvallen.
In veel gevallen sturen de hackers herhaaldelijk MFA-meldingen uit en nemen ze vervolgens contact op met het doelwit via e-mail, berichtenplatforms of de telefoon, waarbij ze zich voordoen als IT-ondersteuning om de gebruiker ervan te overtuigen de MFA-aanvraag te accepteren.
Uiteindelijk raken de doelwitten zo overweldigd dat ze per ongeluk op de knop ‘Goedkeuren’ klikken of gewoon het MFA-verzoek accepteren om de stortvloed aan meldingen die ze op hun telefoon ontvingen te stoppen.
Dit type social engineering-techniek is zeer succesvol gebleken voor de Lapsus$ en Yanluowang-dreigingsactoren bij het binnendringen van grote en bekende organisaties, zoals Microsoft, Cisco en nu ook Uber.
Wat te doen tegen MFA spam?
Als u een werknemer bent die het doelwit is van een MFA Fatigue/Spam aanval, en u ontvangt een spervuur van MFA push meldingen, raak dan niet in paniek, keur het MFA verzoek niet goed, en praat niet met onbekende mensen die beweren van uw organisatie te zijn.
Neem in plaats daarvan contact op met de bekende IT-beheerders van uw bedrijf, uw IT-afdeling of uw leidinggevenden en leg uit dat u denkt dat uw account is gecompromitteerd en wordt aangevallen. U moet ook het wachtwoord voor uw account wijzigen indien mogelijk om te voorkomen dat de hacker blijft inloggen en verdere MFA-pushmeldingen genereert.
Zodra uw wachtwoord is gewijzigd, kan de bedreiger geen MFA-spam meer genereren, waardoor u en uw beheerders ademruimte krijgen terwijl de inbreuk wordt onderzocht.
