Infoblox waarschuwt dat multifactorauthenticatie (MFA) mogelijk een vals gevoel van veiligheid kan geven. Criminelen maken namelijk steeds meer gebruik van lookalike-domeinen om MFA-data te vergaren en zo toch netwerken binnen te dringen.

Multifactorauthenticatie (MFA) is een populaire methode om bedrijfsnetwerken te beveiligen. Door niet alleen op wachtwoorden te vertrouwen en gebruik te maken van aanvullende verificatiemethoden, wordt de netwerkbeveiliging van een organisatie een stuk robuuster. In cybercriminaliteit worden echter steeds vaker phishingcampagnes met lookalikes opgezet om gericht MFA-data te vergaren.

Werkwijze
Criminelen gebruiken al sinds de beginjaren van internet websites die lijken op die van vertrouwde bedrijven, om mensen te misleiden en gegevens buit te maken. Deze zogenaamde lookalike-domeinen zijn inmiddels een vast onderdeel van menig security awareness-training. Het inzetten van lookalike-domeinen om MFA-data te vergaren, is een recent verschijnsel.
Medewerkers worden dan via bekende kanalen benaderd om in te loggen op hun bedrijfsnetwerk. Daarbij maken de aanvallers gebruik van zogenaamde ‘adversary-in-the-middle’-methodes om medewerkers van een organisatie te overtuigen dat de website legitiem is. Vaak beschikken ze al over e-maillijsten en andere gegevens, die ze kunnen gebruiken om vertrouwd ogende communicatie te sturen. De links in bijvoorbeeld de phishing-mails of sms-communicatie leiden de gebruikers vervolgens naar een speciaal opgezet lookalike-domein, dat eruitziet als de vertrouwde login-omgeving. De login-omgeving vraagt dan om MFA-data. Zodra de gebruiker deze invoert, hebben de criminelen beet en kunnen ze inloggen in het bedrijfsnetwerk.

Waarom werken lookalikes zo goed?
Lookalike-domeinen maken gebruik van een aantal methoden die allemaal gebaseerd zijn op psycholinguïstiek. Heel simpel gezegd zorgt ons brein ervoor dat we simpelweg over afwijkingen in een tekst heen lezen en zo toch begrijpen wat er staat. Zo werkt het ook met lookalikes: er worden URL’s gebruikt die afwijkende tekens bevatten om bezoekers te misleiden. Bijvoorbeeld een hoofdletter ‘i’ in plaats van een ‘l’ of tekens uit andere alfabetten, die precies lijken op tekens uit ons eigen alfabet.
Zelfs de meest oplettende medewerkers kunnen worden misleid door een goed opgezette lookalike, zeker wanneer ze ook gericht worden benaderd via andere kanalen om hen tot actie over te halen. Bovendien maken lookalikes gebruik van verschillende DNS-functies om mensen te misleiden, waaronder nameservers, mail servers en CNAME-records.

Cruciaal
“Security-teams staan onder grote druk om met beperkte middelen steeds complexere netwerken te beveiligen. Het is cruciaal om over data te beschikken die aanvallen vroegtijdig detecteert, zodat organisaties snel inzicht krijgen en tijdig kunnen reageren om risico’s te beperken. Via DNS is het relatief eenvoudig om dat inzicht te verkrijgen. Ieder bedrijfsnetwerk ter wereld heeft DNS en ieder verbonden apparaat communiceert met DNS voor elke actie. Detect- en respons-tooling op DNS-niveau is dan ook een belangrijk wapen in de strijd tegen cybercrime-campagnes zoals deze lookalikes”, zegt Steven van Gysel, manager en solutions architect bij Infoblox.