NCTV: digitale weerbaarheid onvoldoende door ontbreken basismaatregelen

NCTV: digitale weerbaarheid onvoldoende door ontbreken basismaatregelen
De meest gebruikte vormen van MFA geven een vals gevoel van veiligheid om in elk geval de volgende redenen:
1) Ze helpen niet bij erop afgestemde MitM (Man in the Middle) aanvallen, vaak middels phishing;
2) Zodra de gebruiker is ingelogd op een website wordt een 1FA session- (authenticatie) cookie gebruikt dat soms gekopiejat kan worden of in CSRF aanvallen kan worden misbruikt;
3) Niets helpt als software op het door de user gebruikte device kwaadaardig is en (deels) inzage heeft in vertrouwelijke sessies en/of handelingen binnen die sessies kan uitvoeren.

Nb. bij het volgende weet ik niet zeker of de beschreven phishing-aanval met 2FA-codes zoals TOTP (uit Google Authenticator e.d.), SMS en voice-calls overweg kan (waarbij de gebruiker tevens een eenmalig gebruikte code moet invoeren), maar ik zie geen redenen waarom dit niet zou kunnen bij zo’n MitM-aanval.

Afgelopen weekend bleek het Twitter-account van de Britse defensie gehacked te zijn (zie https://tweakers.net/nieuws/198680/twitter-en-youtube-accounts-van-britse-leger-verspreidden-cryptoscam-na-hacks.html). Dat is een zogenaamd geverifieerd account (blauw vinkje) wat lezers extra zekerheid over de authenticiteit van de posts zou moeten geven.

Tevens afgelopen weekend meldde https://www.bleepingcomputer.com/news/security/verified-twitter-accounts-hacked-to-send-fake-suspension-notices/ dat er een aanval plaatsvond op geverifieerde Twitter accounts vanaf gehackte geverifieerde Twitter accounts.

Gebruikers ontvangen daarbij een DM van zo’n geverifieerd account met de melding dat een geautomatiseerd systeem van Twitter heeft vastgesteld dat de gebruiker iets onrechtmatigs heeft gepost of dat er problemen zijn met het account. Als de gebruiker niet op een link klikt om de zaak te herstellen zal het account worden geblokkeerd. Via een tinyurl URL-verkorter komt de aangevallene uit op hxxps://twitter-safeguard-protection[.]info/appeal/.

Bleeping Computer heeft getest met een 1FA account en constateerde dat de phishing-site een MitM aanval uitvoert: een onjuist wachtwoord werd namelijk meteen geweigerd. Ik heb geen bewijs maar vermoed dat als je, naast een wachtwoord, ook een TOTP-code (bijv. uit Google Authenticator) moet invoeren om in te kunnen loggen op je Twitter-account, de MitM website daar ook om zal vragen en deze zal gebruiken om namens jou in te loggen.

De MitM site was vanmorgen nog live met een heel stel alternatieve domeinnamen in het op 2 juli uitgegeven (Let’s Encrypt) certificaat:

twitter-badge-protect.info twitter-badge.info twitter-bluebadge-firewall.info twitter-bluebadge-securitycheck.info twitter-bluebadge-update.info twitter-fix.info twitter-help.info twitter-helpinfo.com twitter-portal.info twitter-protect.info twitter-safeguard-protection.info twitter-safety-protection.info twitter-security-badge.info twitter-security-protect.info twitter-security-verfication.info twitter-security.info twitter-securitycheck-update.info twitter-securitycheck.info twittermanagement.info

Bron: https://www.ssllabs.com/ssltest/analyze.html?d=twitter-safeguard-protection.info.

Detectie: https://www.virustotal.com/gui/url/9112638315daa64cd642df6f6fd7c8d63db7567764fdcbbc13f5a09ec23e9e63/detection

Als gebruikers de domeinnaam van de website, waarop zij vertrouwelijke gegevens invoeren (waaronder e-mailadressen, wachtwoorden en 2FA codes), niet grondig checken of niet weten dat deze niet van de bedoelde organisatie is, helpt weinig.

Dat browsers de URL-balk by default onderaan het scherm zetten (zoals te zien in de screenshots van Bleeping Computer), helpt natuurlijk ook niet hierbij.

Bron: https://www.security.nl/posting/759445/NCTV%3A+digitale+weerbaarheid+onvoldoende+door+ontbreken+basismaatregelen?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.