
MFA-fatigue aanval
Wat zijn MFA-fatigue aanvallen?
MFA- (multifactorauthenticatie) fatigue aanvallen treden op wanneer een aanvaller het multifactorauthenticatie proces manipuleert. Vaak gebeurt dit door het doelwit herhaaldelijk te bestoken met authenticatieverzoeken totdat deze vermoeid of verward raakt. Uiteindelijk kan het doelwit instemmen, net zoals een aanhoudend geklop op de deur zelfs de meest voorzichtige huiseigenaar ertoe kan brengen de deur te openen, waardoor een indringer naar binnen kan glippen.
Deze sluwe tactiek zag je ook bij de recente enorme hack bij Uber, uitgevoerd door de beruchte Lapsus$-hackgroep. Door de VPN-inloggegevens van een externe aannemer te bemachtigen en voortdurend in te loggen, veroorzaakte de aanvaller een stortvloed aan tweefactorauthenticatie verzoeken. Nadat de aannemer aanvankelijk weerstand bood, deed de aanvaller zich slim voor als technische ondersteuning, waardoor de aannemer werd overgehaald om het MFA-verzoek te accepteren en ongeautoriseerde toegang te verlenen.
Het Uber incident dient als een harde en ontnuchterende les. Hoewel MFA een essentieel onderdeel is van cyberbeveiliging, is het geen onfeilbaar schild. De steeds evoluerende tactieken van hackers kunnen zelfs de machtigste bedrijven treffen, wat het belang van voortdurende waakzaamheid en een gelaagde beveiligingsaanpak benadrukt. In de snel veranderende wereld van digitale verdediging kan zelfgenoegzaamheid leiden tot een zwakke plek, een kwetsbaarheid die cybercriminelen maar al te graag uitbuiten.

Hoe werkt een MFA-fatigue aanval?
MFA is ontworpen om het systeem te beschermen tegen ongewenste toegang door de gebruiker te verplichten verschillende verificatietypes te verstrekken. Een daarvan is iets wat je weet, zoals een wachtwoord; een andere is iets wat je hebt, zoals je telefoon; en de derde is iets wat je bent, zoals vingerafdrukken. Het is alsof je twee of meer sleutels nodig hebt om de schatkist te openen – je hebt ze allemaal nodig om het slot te ontgrendelen.
Een MFA-fatigue aanval probeert een manier te vinden om de MFA-vereisten te omzeilen en toegang te krijgen tot een account. Het is een strategische aanval waarbij de aanvaller de gebruiker bestookt met eindeloze verzoeken om authenticatie, waardoor de alertheid van de gebruiker afneemt.
Maar hoe werkt het? De truc zit hem in de psychologie, niet de technologie. De aanvaller maakt misbruik van de menselijke factor – vermoeidheid – om een kwetsbaarheid te creëren. Dit zijn de gelaagde stappen van een MFA-fatigue aanval:

- Verkrijgen van inloggegevens: Wil een MFA-fatigue aanval slagen en de aanvallers toegang tot een account te geven, dan moeten de inloggegevens van het account gecompromitteerd zijn. Aanvallers kunnen verschillende methoden gebruiken, zoals phishing, waarbij ze het doelwit verleiden om zijn inloggegevens prijs te geven, of ze kunnen gestolen inloggegevens van het dark web kopen. De verkregen inloggegevens bieden het eerste aanknopingspunt dat nodig is om de MFA-fatigue aanval te lanceren.
- MFA-verzoeken activeren: Zodra de aanvallers erin slagen de eerste verdedigingslinie te omzeilen, ontketenen ze een stortvloed aan MFA-pushmeldingen. Deze secundaire beveiligingsverzoeken vragen de gebruiker meestal om een code in te voeren die naar hun telefoon of e-mail is gestuurd, of om een authenticatieverzoek via een aangewezen app goed te keuren.
- Het doelwit uitputten: Het versturen van één MFA-melding zal waarschijnlijk mislukken, dus de aanvaller blijft het doelwit voortdurend bestoken met authenticatieverzoeken om de gebruiker te verwarren en te irriteren met herhaalde meldingen. Dit is het ‘fatigue’ deel van de aanval, waarbij het doelwit wordt uitgeput totdat hij of zij uiteindelijk aan het verzoek voldoet.
- Overhalen via verschillende kanalen: In sommige gevallen kan de aanvaller de tactiek opschalen door zich voor te doen als technische support of andere social engineering methoden te gebruiken om het doelwit te overtuigen het MFA-verzoek te accepteren. Het recente Uber incident is hier een goed voorbeeld van, waarbij de aanvaller het doelwit via WhatsApp contacteerde en overtuigde om het verzoek te accepteren, waardoor toegang werd verkregen tot de systemen van Uber.
- Ongeautoriseerde toegang verkrijgen: Wanneer de gebruiker uiteindelijk de vereiste validatie indient, gaan de poorten open en wordt toegang verleend, waarbij een van de sterkste beveiligingslagen wordt omzeild. Vanaf hier kunnen criminelen kwaadaardige activiteiten uitvoeren, zoals het stelen van gevoelige informatie, het plegen van fraude of het verder infiltreren van het netwerk.
Wanneer aanvallers toegang krijgen tot het account, kunnen ze zich in verschillende delen van je netwerk begeven en een groot aantal negatieve gevolgen veroorzaken. Deze kunnen variëren van datalekken tot ernstige financiële gevolgen en juridische repercussies voor zowel individuen als bedrijven.
De impact van MFA-fatigue aanvallen: Effecten op bedrijven
De negatieve effecten van MFA-fatigue aanvallen gaan verder dan de directe inbreuk. Elk bedrijf heeft gevoelige informatie zoals klantgegevens, handelsgeheimen of financiële gegevens opgeslagen in zijn systemen. Als een aanvaller erin slaagt door de beveiliging heen te glippen, kunnen ze deze informatie stelen en chaos veroorzaken in je digitale omgeving. Laten we de mogelijke gevolgen van een succesvolle MFA-fatigue aanval op een organisatie eens nader bekijken:
- Financieel verlies: MFA-fatigue aanvallen kunnen je bedrijf raken waar het pijn doet – de portemonnee. Deze aanvallen kunnen leiden tot ongeautoriseerde transacties en frauduleuze activiteiten, operationele verstoringen en juridische kosten en boetes. Herstel van deze problemen vereist vaak dat het budget dat is bedoeld voor groeiprojecten moet worden gebruikt om de gaten te dichten die door de inbraak zijn ontstaan.
- Operationele verstoring: Een MFA-fatigue aanval kan de werking van je bedrijf verstoren, wat leidt tot onderbrekingen, stilstand en verwarring. Je team kan moeite hebben om de nasleep te goed af te handelen, wat kan resulteren in gemiste deadlines, gestreste werknemers en verloren connecties.
- Reputatieschade: Je klanten, werknemers en belanghebbenden hebben je hun persoonlijke informatie toevertrouwd. Als je verdediging faalt, kan dat moeizaam opgebouwde vertrouwen in een keer verdwijnen en je reputatie worden geschaad. Volgens een Forbes Insights Report kunnen datalekken de grootste schade aanrichten aan de reputatie van een bedrijf. Dat benadrukt het belang van het beschermen van je gegevens tegen MFA-fatigue aanvallen.
- Klantenverlies: Wanneer klanten te maken krijgen met inbreuken door MFA-fatigue of soortgelijke aanvallen, kunnen ze denken dat ze beter af zijn wanneer ze hun zaken elders onderbrengen. Bovendien kunnen klanten die concurrenten als veiliger beschouwen, hun loyaliteit verleggen, waardoor je rivalen een voordeel krijgen.
- Juridische en regelgevende gevolgen: Veel sectoren moeten voldoen aan regels voor gegevensbescherming, privacy en andere regelgeving, zoals de EU Cybersecurity Act, de Algemene Verordening Gegevensbescherming (AVG) en de Digital Operational Resilience Act (DORA). Een succesvolle MFA-fatigue aanval kan leiden tot een schending van deze regelgeving en resulteren in juridische boetes en sancties.
- Gebrek aan innovatie: De angst voor datalekken kan jou en je werknemers terughoudend maken om nieuwe technologieën te omarmen, wat je groei en aanpassingsvermogen belemmert.
- Langetermijn impact: MFA-fatigue aanvallen kunnen ervoor zorgen dat je als organisatie met onverwachte gebeurtenissen te maken krijgt. Gebeurtenissen die vragen om grote inspanningen om het geschade vertrouwen te herwinnen, sterkere beveiligingsmaatregelen te implementeren en telkens opnieuw te bepalen wat je doelen zijn. Deze reis kan lang duren en vereist geduld en toewijding.
Voorbeelden van MFA-fatigue aanvallen uit de praktijk
Uber is niet de enige organisatie die in de klauwen van MFA-fatigue is gevallen. Ondanks geavanceerde beveiligingsmaatregelen zijn deze aanvallen de laatste tijd bij veel andere organisaties voorgekomen, wat het belang van constante waakzaamheid en het in de gaten houden van potentiële dreigingen benadrukt.
De gevaarlijke combinatie van vishing en MFA-bombing bij de inbreuk bij Cisco
In een recent cyberbeveiligingsincident is het gerenommeerde technologiebedrijf Cisco Systems slachtoffer geworden van een cyberaanval, wat heeft geleid tot een inbreuk op hun beveiligingssystemen. De aanvallers richtten zich op een specifieke medewerker. Met een reeks telefoontjes waarbij ze zich voordeden als een ondersteuningsorganisatie, werd de medewerker verleid om authenticatie-informatie voor hun Google-account prijs te geven. Nadat de aanvallers de benodigde informatie hadden ontvangen, registreerden ze nieuwe apparaten voor MFA en wisten ze ongeautoriseerde toegang te verkrijgen tot de VPN-netwerken van Cisco en hun privileges te verhogen. Door het creëren van achterdeurtjes kregen ze diepere toegang tot de servers en netwerken van het bedrijf, waarbij ze gegevens stalen.
De aanvaller UNC2447, die wordt geassocieerd met groep die wordt gelinkt aan Rusland, beweerde 3.000 bestanden met 2,8 GB aan gegevens te hebben gestolen. Als dit waar is, kunnen deze bestanden vertrouwelijke informatie bevatten die gerelateerd is aan de operaties, klanten en partners van het bedrijf. Dat roep de nodige zorgen op over potentiële reputatieschade en verlies van vertrouwen onder belanghebbenden. Bovendien bestaat het risico dat de gestolen gegevens worden misbruikt voor kwaadaardige doeleinden, zoals identiteitsdiefstal of het lanceren van gerichte cyberaanvallen op andere entiteiten.
Misleidende MFA-verzoeken geëxploiteerd in gerichte aanval op de Universiteit van Queensland
Een vergelijkbaar voorval is die bij de Universiteit van Queensland in Australië, waar een medewerker het doelwit werd van een MFA-bombing. De medewerker kreeg plotseling een MFA-melding binnen zijn medewerkeraccount. Zonder enige achterdocht keurde de medewerker het verzoek goed. Wat hij niet wist, was dat deze schijnbaar betekenisloze keuze een reeks van ernstige gevolgen zou hebben. De hacker profiteerde van deze toegang om het gecompromitteerde account te manipuleren en verzond misleidende e-mails naar het personeel en de studenten van UQ. Het MFA-verzoek leidde ontvangers vakkundig naar een vervalste Microsoft-inlogpagina waar ze de ingevoerde inloggegevens stalen, wat de complexiteit van de hack vergrootte.
Deze voorvallen komen dichterbij dan we misschien denken. Het zijn niet alleen bedrijven die het doelwit zijn – MFA-fatigue aanvallen kunnen ook onschuldige omstanders treffen. Stel je voor hoeveel persoonlijke informatie we hebben opgeslagen bij bedrijven waarvan we de diensten regelmatig gebruiken. Als een van die bedrijven wordt gehackt, kunnen onze persoonlijke gegevens mogelijk worden gecompromitteerd. Om dit te voorkomen, kunnen organisaties en individuen verschillende maatregelen nemen om zichzelf te beschermen tegen MFA-fatigue aanvallen.
Hoe kun je MFA-fatigue aanvallen verminderen
Multifactorauthenticatie staat aan de frontlinie van het beschermen van onze digitale identiteit en organisatorische middelen. Technologie is niet het enige dat evolueert – de tactieken van aanvallers doen dat ook. Hun bedoeling is duidelijk – het uitputten van de gebruiker zodat hij minder gefocust is en zijn verdediging verzwakt. Hierdoor wordt een moment van kwetsbaarheid gecreëerd dat de aanvaller kan uitbuiten. Het gaat niet om het kraken van een code of het binnendringen van een firewall. Het gaat om de psychologie van uitputting.
Om dit te voorkomen, moeten organisaties en individuen zowel de nieuwste cyberbeveiligingstrends als de nieuwste methoden die aanvallers gebruiken om deze te omzeilen, bijhouden. Hieronder volgen enkele effectieve tactieken om MFA-fatigue aanvallen te bestrijden:

- Creëer een sterk wachtwoord: De eerste verdedigingslinie tegen hacks is een sterk wachtwoord. Maak een sterk en uniek wachtwoord voor elk account. Vermijd het hergebruik van wachtwoorden – als één wachtwoord wordt gekraakt, kunnen andere accounts ook gevaar lopen.
- Gebruik betrouwbare MFA-apps of -apparaten: Kies voor gerenommeerde MFA-apps of -apparaten van betrouwbare aanbieders zoals Google Authenticator, Microsoft Authenticator of hardwaretokens zoals YubiKey. Deze kunnen eenmalige codes genereren die je samen met je wachtwoord moet invoeren bij het inloggen.
- Gebruik biometrische authenticatie: Het integreren van biometrische authenticatiemethoden, zoals vingerafdrukken of gezichtsherkenning, voegt een extra beveiligingslaag toe die moeilijk te kraken is. Dat tilt de veiligheid van je authenticatieproces naar een hoger niveau.
- Beperk authenticatieverzoeken: Door het aantal authenticatieverzoeken te beperken, worden aanvallers na een reeks mislukte inlogpogingen buitengesloten. Door een limiet in te stellen op het aantal verzoeken, voorkom je dat aanvallers je met verzoeken bestoken, wat hun kansen op toegang verkleint.
- Gebruikerstraining en -educatie: Continue bewustwordingstraining voorziet je team van de kennis om verdachte MFA-verzoeken te identificeren. Het bevordert goede cyberhygiëne door bewustzijn en proactieve waakzaamheid te vergroten.
- Moedig het melden van verdachte activiteiten aan: Een eenvoudig meldproces voor verdachte MFA-verzoeken maakt een snelle inspectie en reactie mogelijk. Zelfs als je een MFA-verzoek ontvangt en niet klikt, betekent dit waarschijnlijk dat je account het doelwit is. Het is een goed idee om dit aan het IT-team te melden zodat zij actie kunnen nemen om verdere MFA-bombing pogingen tegen je account te voorkomen.
- Implementeer nummerherkenning in MFA-toepassingen: Door nummerherkenning te integreren, kunnen gebruikers worden gevraagd om een weergegeven nummer te vergelijken met een nummer dat naar hun authenticatie-apparaat is gestuurd. Deze extra bevestiging kan de kans op MFA-fatigue aanvallen verkleinen doordat je een extra stap toevoegt die moeilijker te manipuleren is voor aanvallers. De effectiviteit van nummerherkenning wordt ondersteund door CISA, die het recentelijk heeft aanbevolen als een methode om MFA-fatigue te verminderen. Bovendien is het geïmplementeerd bij grote technologiebedrijven zoals Microsoft, die nummerherkenning als standaardfunctie in zijn Authenticator-app heeft opgenomen.
- Monitor activiteiten: Houd je accountactiviteiten goed in de gaten. Stel meldingen in voor verdachte inlogpogingen of accountwijzigingen. Als iets verdacht lijkt, neem dan onmiddellijk actie, zoals het wijzigen van je wachtwoord of het melden van het incident. Gebruik professionele monitorsystemen die authenticatievoorvallen in realtime volgen.
- Contextuele authenticatie: Implementeer toegangscontroles die rekening houden met de context van de gebruiker – factoren zoals locatie, apparaat en toegangstijd. Deze slimme aanpak zorgt ervoor dat authenticatieverzoeken alleen worden geactiveerd wanneer dat nodig is, wat onnodige vermoeidheid vermindert.
- Adaptieve authenticatie: Dit houdt in dat je de vereisten voor authenticatie aanpast op basis van het risicoprofiel van een gebruiker. Routineklussen krijgen minder verzoeken, terwijl verdachte activiteiten meer controle uitlokken.
- Regelmatige audits en verbeteringen: Routinematige audits van je authenticatiesysteem zijn een must. Analyseer mislukte pogingen, succesvolle inlogpogingen en eventuele patronen die op inbreuken kunnen wijzen. Blijf je verdedigingsstrategie voortdurend aanscherpen.
- Werk apparaten en systemen regelmatig bij: Vergeet niet om je apparaten, MFA-apps en besturingssystemen regelmatig bij te werken om ervoor te zorgen dat je de nieuwste beveiligingspatches en -beschermingen hebt. Oudere versies kunnen zwakke punten bevatten die bekend zijn bij aanvallers, waardoor ze kwetsbaar zijn voor MFA-fatigue aanvallen.
Is wachtwoordloos de oplossing?
Wachtwoordloze authenticatie lijkt een veelbelovende oplossing te zijn in de strijd tegen MFA-fatigue aanvallen. Het biedt een praktische manier om de beveiliging te verbeteren zonder extra complexiteit toe te voegen. Deze methode pakt rechtstreeks de factoren aan die leiden tot vermoeidheid – de constante stroom van verzoeken en de noodzaak om meerdere wachtwoorden te beheren.
Wachtwoordloze authenticatie vertrouwt op biometrische gegevens zoals vingerafdrukken of gezichtsherkenning, samen met hardware tokens en mobiele methoden. Deze persoonlijke identificatiekenmerken zijn uniek voor elk individu, waardoor het aanzienlijk moeilijker wordt voor aanvallers om accounts te breken. Wanneer geïntegreerd in het multifactorauthenticatie kader, stroomlijnt wachtwoordloze authenticatie het proces. Authenticatie wordt soepeler, met minder stappen en minder verwarring. Dit gestroomlijnde proces versterkt niet alleen de beveiliging, maar bevordert ook een harmonieuzere interactie tussen gebruikers en beveiligingsmaatregelen.
Naarmate technologieën zoals biometrie steeds gebruikelijker worden, bieden wachtwoordloze methoden een flexibele en schaalbare beveiligingsbenadering, geschikt voor zowel individuen als bedrijven. Het is echter belangrijk op te merken dat hoewel wachtwoordloze authenticatie MFA-fatigue aanpakt, het niet zonder uitdagingen is. Zorgen over de privacy van biometrische gegevens en de noodzaak voor robuuste apparaatsbeveiliging zijn belangrijke aandachtspunten in deze discussie. Net als bij elke beveiligingsstrategie is een goed gebalanceerde aanpak die de gebruikerservaring, privacy en effectiviteit afweegt essentieel.

Verdediging tegen MFA-bombing: Hoe bedrijven hun beveiliging kunnen verbeteren
MFA is een sterk schild tegen cyberdreigingen, maar de effectiviteit kan worden vergroot door ook de menselijke factor aan te pakken. In plaats van uitsluitend op technologie te vertrouwen, moeten organisaties begrijpen dat medewerkers vaak de primaire verdedigingslinie vormen. Organisaties kunnen hun beveiliging tegen verschillende dreigingen versterken door de nadruk te leggen op bewustzijn, educatie en training van medewerkers. De gegamificeerde e-learningmodules van SoSafe zetten complexe cyberbeveiligingsconcepten om in hapklare, boeiende lessen die gemakkelijk te begrijpen zijn. Met interactieve quizzen en inhoud uit de praktijk worden complexe onderwerpen opgedeeld in behapbare stukken informatie zonder medewerkers te overweldigen of grote verstoringen in hun werkdag te veroorzaken.
Snelle actie in reactie op mogelijke inbreuken is even cruciaal bij MFA-fatigue aanvallen. Via de Phishing Reporting Button van SoSafe kunnen je medewerkers met één klik meldingen naar de IT-afdeling sturen. Voor snelle incidentrespons speelt onze Rapid Awareness Sofie-chatbot ook een belangrijke rol, omdat deze managers in staat stelt om onmiddellijk waarschuwingen naar het hele bedrijf te sturen via MS Teams. Op die manier wordt iedereen gemobiliseerd tegen opkomende dreigingen.
Naarmate aanvallers hun tactieken blijven ontwikkelen, moeten organisaties continu hun beveiligingsstrategieën evalueren en versterken. Alleen op die manier kunnen zij ervoor zorgen dat ze adequaat kunnen reageren op de mogelijke gevolgen van cyberinbreuken. Een holistische aanpak die robuuste technologie combineert met een scherp oog voor het menselijke element, is de sleutel tot een veerkrachtiger cyberbeveiligingslandschap.