Veel organisaties hebben Multi-factor authenticatie (MFA) inmiddels netjes ingesteld. Dat is goed, want MFA maakt het voor kwaadwillenden een stuk moeilijker om zomaar in te loggen met alleen een wachtwoord.
Toch zien we in de praktijk dat accounts soms alsnog worden misbruikt. Ook bij organisaties die MFA gebruiken. Deze week zagen we dit helaas bij twee klanten gebeuren. De oorzaak was niet een zwak wachtwoord, maar een slimme vorm van phishing.
Dat klinkt technisch, maar de aanval zelf is vaak verrassend simpel. En juist daarom is het belangrijk om te weten hoe je dit herkent. Managed Detection & Response (MDR) kan hier ook bij helpen.
Wat is Multi-factor authenticatie (MFA)?
MFA staat voor multi-factor-authenticatie. Dat betekent dat je naast je wachtwoord nog een extra stap nodig hebt om in te loggen. Bijvoorbeeld een code, een melding op je telefoon of goedkeuring via een app.
Je gebruikt dus niet alleen iets wat je weet, zoals je wachtwoord, maar ook iets wat je hebt, zoals je telefoon.
Multi-factor authenticatie (MFA) blijft ontzettend belangrijk. Zonder MFA is de kans op misbruik van accounts veel groter. Maar MFA is geen magisch slot dat alles tegenhoudt. Bij sommige phishingaanvallen weten criminelen MFA namelijk te omzeilen.
Hoe kan een account dan toch worden misbruikt met Multi-factor authenticatie (MFA)?
Bij deze aanval krijgt een gebruiker meestal een e-mail met een link. Die link lijkt betrouwbaar. Bijvoorbeeld omdat de mail lijkt te komen van Microsoft, een collega, een leverancier of een bekende organisatie.
Klik je op de link, dan kom je op een inlogpagina die bijna niet van echt te onderscheiden is. Vaak lijkt deze pagina precies op de normale Microsoft 365-inlogpagina.
Daar vul je je e-mailadres en wachtwoord in. Daarna keur je ook netjes de MFA-melding goed. Tot zover lijkt alles normaal.
Maar op de achtergrond kijkt de aanvaller mee. Terwijl jij denkt dat je veilig inlogt, wordt jouw actieve inlogsessie overgenomen. De aanvaller hoeft daarna niet opnieuw Multi-factor authenticatie (MFA) uit te voeren, omdat de sessie al is goedgekeurd.
Simpel gezegd: je geeft de sleutel niet direct af, maar de aanvaller glipt mee naar binnen terwijl de deur openstaat.
Waarom houdt Multi-factor authenticatie (MFA) dit niet altijd tegen?
MFA controleert vooral het moment waarop je inlogt. Het systeem kijkt: klopt het wachtwoord en is de extra goedkeuring gegeven?
Als dat allebei klopt, ziet Microsoft de login in eerste instantie als betrouwbaar. Wanneer een aanvaller op dat moment de sessie overneemt, lijkt het alsof dezelfde gebruiker gewoon verder werkt.
Dat betekent niet dat MFA slecht werkt. Integendeel. MFA blijft een van de belangrijkste beveiligingsmaatregelen. Alleen is het belangrijk om te weten dat MFA niet alles oplost.
Wat gebeurt er na zo’n aanval?
Als een aanvaller toegang heeft tot een mailbox, wordt die vaak heel snel doorzocht. Dat gebeurt meestal automatisch en binnen enkele minuten.
De aanvaller zoekt bijvoorbeeld naar:
- Facturen;
- Betaalgegevens;
- Klantinformatie;
- Lopende opdrachten;
- Contactpersonen;
- Eerdere e-mailgesprekken;
- Documenten met gevoelige informatie.
Daarna wordt deze informatie gebruikt voor vervolgaanvallen. Denk aan een nepbericht naar klanten, leveranciers of collega’s. Omdat zo’n bericht vanuit een echte mailbox komt, lijkt het voor de ontvanger extra betrouwbaar.
Wat kun je als organisatie doen?
Het is belangrijk dat medewerkers de belangrijkste signalen herkennen. Zorg daarom voor duidelijke afspraken:
- Log niet in via links uit verdachte of onverwachte e-mails.
- Gebruik vaste websites voor Microsoft 365 en andere belangrijke systemen.
- Meld verdachte e-mails direct.
- Keur nooit zomaar een MFA-verzoek goed.
- Neem bij twijfel altijd contact op.
Daarnaast zijn er technische maatregelen die extra bescherming bieden, zoals betere beveiliging tegen phishing, slimme detectie van afwijkend inloggedrag en strengere toegangsregels.
Meer lezen over MFA? Lees dan ook ons artikel: Slimme phishingaanvallen misleiden MFA bij Microsoft 365 of Met multifactor authentication maakt u het hackers lastig.
Conclusie: MFA blijft nodig, maar alertheid blijft net zo belangrijk
Multi-factor authenticatie (MFA) is en blijft noodzakelijk. Het houdt veel aanvallen tegen en maakt accounts veel beter beschermd dan alleen een wachtwoord.
Maar MFA is niet genoeg op zichzelf. Cybercriminelen worden slimmer en maken steeds vaker gebruik van nep-inlogpagina’s die bijna echt lijken. Daarom blijft oplettendheid belangrijk.
Klik niet zomaar op links in e-mails. Controleer waar je inlogt. En twijfel je? Doe dan niets en neem contact op.
Heb je vragen over MFA, phishing of de beveiliging van je Microsoft 365-omgeving? Neem gerust contact met ons op!
☎️ Bel ons op 0318 53 19 66
📧helpdesk@ictzaak.nl
💬 Stel je vraag via contact
