Ook multifactor autorisatie kan worden gekraakt

Onlangs in het nieuws: het Amerikaanse instituut voor cybersecurity ontdekte dat hackers door een multifactor autorisatie zijn gekomen. Je kent het systeem als je bijvoorbeeld inlogt bij je bank: na inloggen krijg je via een SMS nog een inlogcode. Vul voor ‘bank’ veel clouddiensten in en dan is direct duidelijk dat er sprake is van gefronste wenkbrauwen op zijn minst. Multifactor autorisatie is in principe veilig: de hacker moet behalve over naam en wachtwoord ook over de telefoon beschikken om in te kunnen loggen. Maar: het is en blijft software en de beveiliging kan omzeild worden.

Hoe doe je dat?

De vraag is: hoe? Hoogstwaarschijnlijk is een geldige sessie gekaapt. De hacker heeft het cookie te pakken gekregen en was daarmee in principe geauthentiseerd. Vervolgens heeft de hacker e-mailregels gewijzigd om bij het bedrijf nog achter andere wachtwoorden te komen. Dus met het voorbeeld van de bank: als je op je pc je bankzaken aan het regelen bent (nadat je binnen was na dubbele authorisatie), stuurt geïnstalleerde malware gegevens naar de hacker, die daarmee kan binnendringen. En eenmaal binnen kan de hacker allerlei instellingen wijzigen.

Cloud is in principe toegankelijk

Bovenstaande gebeurde bij een clouddienst en dat is niet verbazingwekkend. Clouddiensten zijn per definitie online toegankelijk en zijn algemeen bekend. De kans dat dit bij een grote clouddienst als Google of Amazon gebeurt is daarom ook vele malen groter dan een hack in een Virtual Private Network (VPN) van je eigen bedrijf. Wat wel een trend is: in dit soort gevallen probeert eerst één hacker ergens binnen te komen en wachtwoorden te achterhalen. Na verkoop van deze gegevens gaan de echte zware cybercriminelen aan de slag. Zie onze vorige blog over Emotet.

Incidenteel. Maar toch

Toegegeven, tot nu toe gaat het om incidenten. Het gaat erom aan te geven dat ook het kraken van multifactor autorisatie mogelijk is en ook gebeurt. Een waterdicht systeem bestaat simpelweg niet. Het enige dat helpt is een airgap. Als je online omgeving gehackt wordt, denk ook aan bijvoorbeeld Office 365, is het verstandig om iets te hebben om op terug te vallen.

Cloud of on premise?

De cloud heeft absoluut bestaansrecht: de pluspunten hebben zich wel bewezen. Maar on premise data offline bewaren heeft zeker voordelen! En-en is natuurlijk een prima oplossing. Het is prettig om altijd en overal toegang te hebben tot zakelijke documenten en privé foto’s, maar voor beiden geldt dat je ze sowieso niet kwijt wil.

Meer weten?

We vertellen graag alles over Silent Bricks. Neem geheel vrijblijvend contact met ons op!

Schrijf in voor tips en info

Wij schrijven regelmatig blogs over actuele onderwerpen uit de wereld van digitale opslagtechnologie. Meld je hier aan om over nieuwe blogs geïnformeerd te worden.