Waarschuwing voor steeds geavanceerdere phishing-aanvallen

For English please scroll below

Traditionele phishing is gericht op het stelen van ‘credentials’ (inloggegevens zoals gebruikersnamen en wachtwoorden). Door de inzet van MFA (tweestapsverificatie) mist de aanvaller een ‘tweede factor’ om succesvol te kunnen inloggen. MFA beschermt hiermee tegen deze vorm van Phishing. De geavanceerdere variant van deze phishing-methode is AiTM (‘Adversary-in-the-middle) phishing’ en is voor de lezer zonder IT-affiniteit alweer een stuk complexer om uit te leggen. We gaan het echter toch proberen.

Adversary-in-the Middle-phishing is instaat om MFA (tweestapsverificatie) te omzeilen. Bij deze aanvalsmethodiek plaatst de aanvaller zich tussen de gebruiker en de website, service of inlogpagina van een legitieme bron, waardoor inloggegevens en ‘session cookies’ worden onderschept. Dit maakt AiTM-phishing erg gevaarlijk.

De aanvaller fungeert dus als een tussenpersoon (de ‘man in het midden’) die je gegevens onderschept en misbruikt, terwijl jij in de veronderstelling bent dat je op een veilige manier verbonden bent met de website of inlogpagina. Het is gevaarlijk omdat deze methode moeilijk te herkennen is. Je gegevens kunnen daarom worden gestolen zonder dat je hier iets van merkt.
De aanvaller kan vervolgens een eigen MFA-methode registreren om toegang te blijven houden en kan hier op een later moment weer opnieuw misbruik van maken.

Wat je kunt doen tegen AiTM phishing

• Controleer altijd de URL van de site die je bezoekt. Niet alleen wanneer je argwaan krijgt, maar altijd;
• Wees alert op phishing e-mails en maak gebruik van (onze) security awareness trainingen zodat je altijd op de hoogte bent van de laatste aanvalsmethodieken;
• Verklaar MFA (tweestapsverificatie) niet heilig. Uiteraard helpt het tegen minder geavanceerde aanvallen door cybercriminelen maar MFA beschermt niet altijd;
• Maak gebruik van hardwarematige MFA zoals bijvoorbeeld ‘FIDO2-keys’. Deze vorm van tweestapsverificatie kan niet zomaar worden gekopieerd of onderschept;
• Informeer bij ons naar de aanvullende mogelijkheden om bovenop de bestaande securitymaatregelen ook advies in te winnen over het gebruik van:
  • Defender for Cloud Apps;
  • Microsoft Entra ID P2.

Wanneer u reeds Sophos Managed Detection and Response gebruikt dan is Sophos instaat data te analyseren welke beschikbaar wordt gesteld door Defender for Cloud Apps en Microsoft Entra ID P2.

Verder de techniek in

De aanvalsmethodiek richt zich op de ‘session cookie’. Hierbij wordt de cookie vanuit een website naar je webbrowser gestuurd en in de browser opgeslagen terwijl je een website bezoekt. Deze cookie helpt de website om informatie over jouw bezoek te onthouden en zorgt ervoor dat je sessie met de website soepel verloopt.

Bron: Microsoft.com

Wanneer je een website bezoekt, stuurt de website een session cookie naar je browser. De cookie bevat een unieke identificatiecode. Deze code helpt de website om jou als gebruiker te herkennen terwijl je op de website navigeert. Hierdoor hoef je bijvoorbeeld niet elke keer opnieuw in te loggen als je naar een andere pagina op dezelfde website gaat.

Session cookies zijn tijdelijk en worden alleen opgeslagen tijdens je bezoek aan de website. Zodra je de browser sluit, worden deze cookies vaak automatisch verwijderd. Session cookies helpen ook bij beveiligingstaken, zoals het voorkomen van frauduleuze activiteiten tijdens je sessie.

Warning: Increasingly sophisticated phishing attacks

Traditional phishing aims to steal ‘credentials’ (login details such as usernames and passwords). By using MFA (two-step verification), so, the attacker lacks a ‘second factor’ to log in successfully. In this case MFA protects against this form of Phishing.
The more advanced variant of this phishing method is ‘Adversary-in-the-middle-phishing’ and is a lot more complex to explain for this reader without IT affinity. However, we’re going to try anyway.

Adversary in the Middle (AiTM)’ phishing is able to bypass MFA (two-step verification). With this attack method, the attacker places himself between the user and the website, service or login page of a legitimate website for example, and intercepts login data and ‘session cookies’. This makes AiTM phishing very dangerous.

The attacker acts as an ‘man in the middle’ who intercepts and misuses your data, while you assume you are securely connected to the website or login page. It is very dangerous because this method is difficult to recognize. So your data can be stolen without you suspecting anything. The attacker can now set up their own MFA method to maintain access and abuse this again at a later time.

What you can do against AiTM phishing:

• Always check the URL of the site you are browsing too or the email that you’re receiving. Even when you assume you are visiting a legitimate website or when you expect a legitimate email;
• Watch out for (potential) phishing emails and use (our) security awareness training so that you are always aware of the latest attack methods;;
• MFA certainly helps against less sophisticated attacks by cybercriminals but it doesn’t always protect;
• Instead, use hardware-based MFA such as ‘FIDO2-keys’. This form of multi-factor authentication cannot be easily copied or intercepted;
• Ask us for additional options to complement your existing security measures, including advice on using:
  • Defender for Cloud Apps;
  • Microsoft Entra ID P2.

If you already use Sophos Managed Detection and Response, The Sophos MDR team can analyse telemetry available by Defender for Cloud Apps and Microsoft Entra ID P2 to take further actions if necessary.

Technical Background information

The attack method focuses on the ‘session cookie’. A cookie is sent from a website to your web browser and is stored in the browser while you visit a website. This cookie helps the website remember information about your visit and ensures that your session with the website runs smoothly.
This cookie contains a unique identification code. The code helps the website recognize you as a user while you navigate the site. For instance, you don’t have to log in again every time you go to another page on the same website.

Source: Microsoft.com

Session cookies are temporary and are only stored during your visit to the website. Once you close the browser, these cookies are often automatically deleted. Session cookies also help with security tasks, such as preventing fraudulent activities during your session.