Blog

Houd hackers buiten de deur en voorkom MFA Fatigue

Geschreven door Jan-Willem Mentink | May 8, 2023 12:24:00 PM

Berichten over cyber crime en datalekken waardoor inloggegevens van miljoenen gebruikers op straat liggen, buitelen de laatste tijd over elkaar heen. En met ieder lek wordt de kans groter dat ook jouw gegevens daartussen zitten. Met multi-factor authenticatie(MFA) schroef je je beveiliging op, maar... MFA Fatigue ligt op de loer. 

Onlangs braken hackers in bij softwareleverancier Nebu, waar ze mogelijk de marktonderzoeksgegevens van miljoenen VodafoneZiggo en NS-klanten stalen. Door dit soort inbraken, loop je steeds meer risico dat er ergens op de wereld een crimineel rondloopt die beschikt over inloggegevens of andere informatie over jou of je gebruikers. 

De goede oude tijd waar je met een sterk wachtwoord safe was, ligt helaas achter ons. En dus is MFA al jaren het devies, want dat maakt inloggen op jou accounts voor cybercriminelen een stuk ingewikkelder. Helaas beginnen we langzaamaan een soort MFA-moeheid te ontwikkelen, waar die hackers handig gebruik van weten te maken. 

Wat is MFA ook alweer? 

Met multi-factor authenticatie log je eerst met je gebruikersnaam en wachtwoord in, daarna word je gevraagd om een zescijferige code die je met een Authenticator app op je telefoon genereert. Bekende apps zijn die van Microsoft en Google.  

Doordat inloggen met dergelijke apps meerdere (multiple) stappen vraagt, spreekt men van multi-factor authenticatie. Die extra beveiligingsfactoren maken het voor hackers zeer lastig of zelfs onmogelijk om via inloggen in te breken. En daarom is ons dringende advies om zo snel mogelijk MFA in je bedrijf in te voeren als je daar nog geen gebruik van maakt.  

Hackers omzeilen MFA door je moe te beuken 

Hackers leggen zich niet zomaar neer bij de barrière die MFA voor ze opwerpt.  Met zogenaamde social engineering tactieken proberen ze gebruikers te misleiden om zo MFA te omzeilen en alsnog in te kunnen breken. 

Social engineering is misbruik maken van jouw vertrouwen en andere menselijke eigenschappen. Het doel: je persoonlijke gegevens ontfutselen of je iets onwenselijks laten doen. Denk bijvoorbeeld aan phishing mails die van je (vertrouwde) bank lijken te zijn en om je inloggegevens of pincode vragen. 

Een andere social engineering tactiek is om je te bestoken met telkens hetzelfde verzoek, in de hoop dat je uiteindelijk toegeeft om er maar vanaf te zijn. Ook een typisch menselijke eigenschap, denk maar aan een kind dat om een ijsje blijft zeuren omdat het wéét dat er een kans is dat je na veertien keer toch zult zwichten.  

Met een ijsje is dat nog niet zo'n probleem. Maar als een hacker je bestookt met berichten om een inlog te bevestigen wordt het toch gevaarlijk. Bijvoorbeeld als het gaat om je werkmail of een zakelijke applicatie. Geef je na tig keer afwijzen toch maar akkoord, omdat je er moe van wordt en ervan af wilt zijn? Dan heb je zonder dat je het doorhebt niet je eigen inlog bevestigd, maar de hacker toegang gegeven. En dat is precies waar men op hoopte.  

MFA fatigue 

Dat is wat men MFA Fatigue noemt. MFA-verzoeken die maar goedgekeurd worden omdat ze eindeloos op je scherm naar voren komen. Mocht je denken dat zulke aanvallen niet zo'n vaart zullen lopen, dan heb je het helaas mis: recent zijn bedrijven als Uber en Rockstar Games er het slachtoffer van geworden.  

Dit is hoe het doorgaans werkt: 

  1. Een hacker logt in op een systeem met jouw inloggegevens (die via een datalek gestolen zijn) 
  2. Het systeem vraagt om een MFA code. De hacker vult die code niet in (want die heeft hij  niet). In plaats daarvan kiest de hacker de optie dat je op dat moment geen code kunt genereren, waardoor jij op je telefoon een push bericht krijgt om je inlog te bevestigen.
  3. Jij bent niet aan het inloggen en dus wijs je de inlogbevestiging af.
  4. De hacker stuurt je meteen weer een push bericht. 
  5. Jij wijst weer af… de hacker stuurt weer een bericht… en dat gaat zo maar door. Totdat jij toevallig wél denkt dat het om je eigen inlogpoging gaat, tot je denkt dat het om een storing gaat, of tot je de meldingen gewoon helemaal zat bent en akkoord geeft, want... “het zal wel goed zijn...” 
  6. Hiermee bevestig je de inlog van de hacker en geef je die onbedoeld toegang. En  daar begint de ellende… 

Vrijwel altijd gebruiken hackers speciale scripts die hun stappen volledig automatisch uitvoeren en daardoor kunnen ze tientallen of honderden gebruikers tegelijkertijd bestoken. 24/7, zo lang als ze willen. Dat men het blijft proberen kun je niet voorkomen, je kunt wél andere stappen nemen om jezelf beter te beschermen. 

MFA fatigue voorkomen 

MFA fatigue kun je voorkomen door gebruikersvoorlichting en technische maatregelen zoals number matching. Een aantal voorbeelden: 

  • Licht je gebruikers goed voor 

Een social engineering tactiek richt zich rechtstreeks op de gebruiker. De sleutel ter voorkoming van misbruik ligt óók bij de gebruiker. Zorg dat je gebruikers weten hoe MFA werkt en waarom het belangrijk is. Maak duidelijk wat de risico's zijn (zoals MFA Fatigue) en wat ze kunnen doen wanneer ze vermoeden dat er iets niet in orde is.  

  • Voeg een extra factor toe 

Een technische maatregel die je kunt nemen is multi-factor authenticatie écht multi maken door naast de code nog een factor toe te voegen. Zoals een vraag met een antwoord dat alleen de gebruiker weet. Dat legt voor hackers weer een extra barrière, wat de kans op succes kleiner maakt.  

  • Stel number matching in 

Number matching is een andere extra MFA-factor die bijvoorbeeld Microsoft toepast. Hierbij toont een inlogscherm een getal dat de gebruiker bij een overeenkomstig push bericht op z'n telefoon moet invullen. De hacker krijgt dat getal wel te zien, maar heeft geen andere optie dan de gebruiker om die code te vragen – met slechts kleine kans op succes.  

  • Stel een limiet in voor het aantal inlogpogingen 

Beschikken jouw systemen nog niet over number matching voor MFA, dan heb je misschien wel de mogelijkheid om een limiet voor het aantal inlogpogingen via push berichten in te stellen. Na bijvoorbeeld vijf pogingen blokkeert een account dan automatisch en zo voorkom je dat hackers je gebruikers moe beuken. 

MFA is een must, maar niet voldoende 

Met de genoemde anti-fatigue maatregelen is MFA heel effectief om inbreken via inloggen te voorkomen. Maar zoals eerder gezegd, zitten hackers niet stil en zoeken ze voortdurend nieuwe mogelijkheden om in te breken. Daardoor is MFA maar een deel van je totale beveiliging. Blijf dus altijd waakzaam en zet ook endpoint beveiliging zoals Microsoft Defender in om je bedrijf te beschermen. 

Goede beveiliging houdt de bad guys buiten én vraagt niet teveel van je gebruikers. Het is zaak om precies die balans te vinden, zodat je zo min mogelijk risico loopt én gewoon soepel gebruik kunt maken van je systemen. Ben je benieuwd hoe je dat voor jouw organisatie kunt realiseren? Plan een vrijblijvend adviesgesprek met een van onze specialisten. Ze denken graag met je mee. 

Lees verder over IT beheer.