Het is nu algemeen bekend dat gebruikersnamen en wachtwoorden niet voldoende zijn om veilig toegang te krijgen tot online diensten. Uit een recent onderzoek bleek dat meer dan 80% van alle hackgerelateerde inbreuken het gevolg zijn van gecompromitteerde en zwakke inloggegevens, met alleen al in 2016 drie miljard combinaties van gebruikersnaam en wachtwoord.

Als zodanig is de implementatie van tweefactorauthenticatie (2FA) een noodzaak geworden. Over het algemeen streeft 2FA ernaar een extra beveiligingslaag te bieden aan het relatief kwetsbare gebruikersnaam/wachtwoordsysteem.

Het werkt ook. Cijfers suggereren dat gebruikers die 2FA hebben ingeschakeld uiteindelijk ongeveer 99,9% van de geautomatiseerde aanvallen blokkeerden.

Maar zoals bij elke goede cyberbeveiligingsoplossing, kunnen aanvallers snel manieren bedenken om deze te omzeilen. Ze kunnen 2FA omzeilen via de eenmalige codes die als sms naar de smartphone van een gebruiker worden verzonden.

Toch gebruiken veel kritieke online services in Australië nog steeds eenmalige codes op basis van sms, waaronder myGov en de Big 4-banken:ANZ, Commonwealth Bank, NAB en Westpac.

Dus wat is het probleem met sms?

Grote leveranciers zoals Microsoft hebben er bij gebruikers op aangedrongen om af te zien van 2FA-oplossingen die gebruikmaken van sms en spraakoproepen. Dit komt omdat SMS bekend staat om zijn beruchte slechte beveiliging, waardoor het openstaat voor een groot aantal verschillende aanvallen.

Er is bijvoorbeeld aangetoond dat SIM-swapping een manier is om 2FA te omzeilen. Bij SIM-swapping overtuigt een aanvaller de mobiele serviceprovider van een slachtoffer dat zij zelf het slachtoffer zijn, en vraagt ​​vervolgens om het telefoonnummer van het slachtoffer over te schakelen naar een apparaat naar keuze.

Het is ook aangetoond dat op sms gebaseerde eenmalige codes worden gecompromitteerd door gemakkelijk beschikbare tools zoals Modlishka door gebruik te maken van een techniek die reverse proxy wordt genoemd. Dit vergemakkelijkt de communicatie tussen het slachtoffer en een dienst die wordt nagebootst.

Dus in het geval van Modlishka onderschept het de communicatie tussen een echte dienst en een slachtoffer en volgt en registreert het de interacties van het slachtoffer met de dienst, inclusief eventuele inloggegevens die ze gebruiken).

Naast deze bestaande kwetsbaarheden heeft ons team aanvullende kwetsbaarheden gevonden in op sms gebaseerde 2FA. Een bepaalde aanval maakt gebruik van een functie in de Google Play Store om automatisch apps van internet op je Android-apparaat te installeren.

Als een aanvaller toegang heeft tot uw inloggegevens en erin slaagt in te loggen op uw Google Play-account op een laptop (hoewel u een prompt ontvangt), kunnen ze elke gewenste app automatisch op uw smartphone installeren.

De aanval op Android

Uit onze experimenten bleek dat een kwaadwillende actor met weinig moeite op afstand toegang kan krijgen tot de sms-gebaseerde 2FA van een gebruiker, door het gebruik van een populaire app (naam en type worden om veiligheidsredenen niet vermeld) die is ontworpen om gebruikersmeldingen op verschillende apparaten te synchroniseren.

In het bijzonder kunnen aanvallers gebruikmaken van een gecompromitteerde combinatie van e-mail en wachtwoord die is gekoppeld aan een Google-account (zoals [email protected]) om op snode wijze een direct beschikbare app voor het spiegelen van berichten op de smartphone van een slachtoffer te installeren via Google Play.

Dit is een realistisch scenario, omdat het gebruikelijk is dat gebruikers dezelfde referenties gebruiken voor verschillende services. Het gebruik van een wachtwoordbeheerder is een effectieve manier om uw eerste authenticatieregel (uw gebruikersnaam/wachtwoordaanmelding) veiliger te maken.

Zodra de app is geïnstalleerd, kan de aanvaller eenvoudige social engineering-technieken toepassen om de gebruiker te overtuigen de benodigde machtigingen in te schakelen om de app goed te laten werken.

Ze kunnen bijvoorbeeld doen alsof ze bellen van een legitieme serviceprovider om de gebruiker over te halen de machtigingen in te schakelen. Hierna kunnen ze op afstand alle communicatie ontvangen die naar de telefoon van het slachtoffer is verzonden, inclusief eenmalige codes die worden gebruikt voor 2FA.

Hoewel er aan meerdere voorwaarden moet worden voldaan om de bovengenoemde aanval te laten werken, toont het nog steeds de fragiele aard van op sms gebaseerde 2FA-methoden.

Wat nog belangrijker is, deze aanval heeft geen geavanceerde technische mogelijkheden nodig. Het vereist gewoon inzicht in hoe deze specifieke apps werken en hoe ze intelligent (samen met social engineering) kunnen worden gebruikt om een ​​slachtoffer aan te vallen.

De dreiging is nog reëler wanneer de aanvaller een vertrouwd persoon is (bijvoorbeeld een familielid) met toegang tot de smartphone van het slachtoffer.

Wat is het alternatief?

Om online beschermd te blijven, moet u controleren of uw eerste verdedigingslinie veilig is. Controleer eerst uw wachtwoord om te zien of het is gehackt. Er zijn een aantal beveiligingsprogramma's waarmee u dit kunt doen. En zorg ervoor dat je een goed gemaakt wachtwoord gebruikt.

We raden u ook aan het gebruik van sms als 2FA-methode te beperken als dat mogelijk is. U kunt in plaats daarvan app-gebaseerde eenmalige codes gebruiken, zoals via Google Authenticator. In dit geval wordt de code gegenereerd in de Google Authenticator-app op uw apparaat zelf, in plaats van naar u te worden verzonden.

Deze aanpak kan echter ook worden aangetast door hackers die geavanceerde malware gebruiken. Een beter alternatief zou zijn om speciale hardwareapparaten zoals YubiKey te gebruiken.

Dit zijn kleine USB-apparaten (of near-field-communicatie) die een gestroomlijnde manier bieden om 2FA voor verschillende services mogelijk te maken.

Dergelijke fysieke apparaten moeten worden aangesloten op of in de buurt van een inlogapparaat worden gebracht als onderdeel van 2FA, waardoor de risico's die gepaard gaan met zichtbare eenmalige codes, zoals codes die per sms worden verzonden, worden beperkt.

Er moet worden benadrukt dat een onderliggende voorwaarde voor elk 2FA-alternatief is dat de gebruiker zelf een zekere mate van actieve deelname en verantwoordelijkheid moet hebben.

Tegelijkertijd moeten serviceproviders, ontwikkelaars en onderzoekers verder werken aan de ontwikkeling van toegankelijkere en veiligere authenticatiemethoden.

In wezen moeten deze methoden verder gaan dan 2FA en naar een multi-factor authenticatie-omgeving, waar meerdere authenticatiemethoden gelijktijdig worden ingezet en gecombineerd waar nodig.