Reddit is gehackt via phishingcampagne die inloggegevens medewerker opleverde

Reddit heeft te maken gehad met een hack van zijn systemen. Volgens het bedrijf is een phishingcampagne uitgevoerd gericht op Reddit-medewerkers. Daarbij zijn de inloggegevens van een werknemer bemachtigd, waarna de aanvaller toegang kreeg tot de systemen.

Reddit schrijft dat het op 5 februari in de gaten kreeg dat er een 'geavanceerde phishingcampagne' gaande was, waarbij 'geloofwaardige prompts' naar medewerkers werden gestuurd. Die verwezen door naar een website die 'het gedrag van onze intranetgateway kloonde'.

Uiteindelijk is het de aanvaller gelukt om de gegevens van een medewerker te bemachtigen, waarna toegang is verkregen tot 'sommige interne documenten, code en sommige interne dashboards en zakelijke systemen'. Ook heeft de aanvaller toegang gekregen tot honderden bedrijfscontacten en de gegevens van voormalige en huidige werknemers, naast 'beperkte adverteerdersinformatie', meldt Reddit.

Op basis van een onderzoek dat meerdere dagen in beslag nam, stelt Reddit dat er geen bewijs is dat er toegang is geweest tot niet-publieke data van gebruikers en er zou ook geen Reddit-informatie zijn gepubliceerd of gedistribueerd.

Reddit schrijft dat de wachtwoorden en accounts van gebruikers veilig zijn. Verder meldt het discussieplatform dat er geen indicaties zijn dat toegang is verkregen tot primaire systemen. Het gaat dan om de systemen waar Reddit deels op draait en waar het grootste deel van de data wordt opgeslagen.

Door Joris Jansen

Redacteur

10-02-2023 • 08:19

187

Submitter: soczol

Reacties (186)

186
183
65
5
0
109

Sorteer op:

Weergave:

Wow, die zal een 'goed gesprek' krijgen, als het niet exit stage right wordt. Maar bewijst helaas maar weer hoe slim die klootzakken zijn die het uitvoeren.
Een goed gesprek zou ik zeker gaan voeren, maar niet een die jij lijkt te impliceren. Het is vaak vooral schaamtevol voor de collega die dit overkomt. De kans is groot dat ze zichzelf verwijten maken dat ze het "hadden moeten zien" of "hoe kan ik zo dom zijn". Terwijl dat met moderne aanvallen onterecht is.

Waar mensen werken, worden fouten gemaakt. Als je het goed aanpak, maakt deze medewerker voortaan minder fouten én zal de medewerker collega's wijzen op de gevaren, want "weet je nog wat mij is overkomen!?"...
Als het een medewerker van mij was zou ik hem vragen graag zijn ervaringen te delen met iedereen en verder daarbij laten. Voor de rest is het een altijd bestaand risico waar iedereen bewust van moet zijn.

Maar goed ik heb geen bedrijf, misschien maar goed ook 🫠
Precies dit. Ik heb begin dit millennium bij mijn toenmalige werkgever het ILOVEYOU-virus binnengehaald door een attachment van een betrouwbaar ogend mailtje aan te klikken, met alle gevolgen van dien. Halve bedrijf plat, complete chaos. Is uiteindelijk goed gekomen, maar toch...

Geloof mij: zoiets wil je niet op je geweten hebben, en ik schaamde me de ogen uit m'n kop. Sindsdien ben ik me dan ook enorm bewust van alle stappen die ik online zet.
Een van de belangrijke punten die IT'ers moet maken in de online wereld van vandaag!

Niemand staat boven oplichting en het kan iedereen overkomen. Als It-ers moeten we duidelijk maken aan eindgebruikers dat die niet moeten twijfelen om hulp te vragen of om zaken te rapporteren. Support desks moeten ook duidelijk zijn dat ze liever hebben dat je 10x foutief verdachte zaken meldt dan 1x niet.

IT security is iedere persoon in je organisatie, niet enkel een virusscanner in je taakbalk.
Daar waar wij onszelf elke dag op trainen om niet voor phishing te vallen. Net zo hard wordt er gewerkt aan de andere kant bij de aanvallende/kwaadwillende partij. Als mijn collega die dit was overkomen, ontslagen zou worden, dan is dat voor mij per direct een omgeving waar ik niet in wil thuishoren en dus ook ontslag zal gaan nemen.
Eens, maar in de praktijk zijn we nog lang weg van de wereld waar security echt serieus wordt genomen.

Zelfs in dit absurde tijdperk van gigantische crypto malware aanvallen ziet men dit nog als 'technische probleem'. Dat is ook het grote probleem met de mens, we moeten snel aanpassen en gewoonten veranderen. Maar het gaat gewoon te snel voor mensen. De cultuur binnen IT veranderd niet snel genoeg om de aanvallers voor te zijn.
Als iemand die jarenlang als support medewerker heeft gewerkt. Ik geef ook altijd aan dat we liever hebben dat mensen te vaak een melding maken, dan te weinig.

Maar dat is puur mijn persoonlijke instelling. Bijna geen 1 organisatie heeft dat als standaard policy.

Veel organisaties gaan ook huilend slecht om met IB meldingen en nemen de moeite niet om hun personeel een beetje op te voeden.

Het valt mij juist op dat vooral de overheid hier wel actief mee bezig is. Het bedrijfsleven niet tot nauwelijks. Terwijl een goede hack, een bedrijf op de knieën kan krijgen.
want op die systemen zijn wachtwoorden niet via phishing te verkrijgen?
Zo slim hoeven ze helaas niet te zijn. Op mijn werk hebben ze vorig jaar een fake phishing mail gestuurd naar medewerkers. De mail leek op een document deel verzoek van office die afkomstig was van *naam*@offlice.nl. (let wel er staat OFFLICE.NL) Deze naam was niet per se een directe collega.

Van de 2500 mails hebben ongeveer 10% op de link geklikt en ongeveer de helft daarvan hebben hun inlog gegevens ingevuld.
Dus ongeveer 5% van de mensen geven dus inlog gegevens af zonder door te hebben dat het nep is.
Dergelijke awareness testen worden hier op de Universiteit Twente ook gedaan, en tevens verontrustend hoeveel mensen er op klikken.

Ik zou zelf trouwens ook niet goed weten hoe ik nep en echt moet onderscheiden. We hebben letterlijk honderden online diensten die allemaal gekoppeld zijn aan één login (wel met 2FA), maar vervolgens vaak op een niet-Utwente.nl pagina uit komen. Bijvoorbeeld AFAS, Unit4, Proactis etc. gebruiken allemaal eigen domeinen.
Hoe moet ik bv weten dat "https://start.esize.nl/launchpad/nl_NL/domain/utwente/main" de juiste URL voor ons inkoopsysteem is, en herkennen dat "https://start.size.nl/launchpad/nl_NL/domain/utwente/main" de phishing poging is?

Als iemand kennis heeft van de interne systemen van een organizatie, gaat ie altijd wel een slachtoffer vinden. Belangrijk dat een bedrijf daarom niet nodeloos veel rechten bij gebruikers heeft, zodat de impact beperkt blijft. Bv ook dat beheerders niet hun mail checken met een account dat overal admin is, maar daarvoor apparte credentials gebruiken etc.
Sowieso zouden admin rechten aan een apart account (bijv eindigend op -a) gehangen moeten worden waaraan ook strengere voorwaarden gekoppeld zijn voor het wachtwoord (bijv min 16 karakters, etc).

Weet alleen wel dat de praktijk wat weerbarstiger is en dat in veel organisaties er eigenlijk niet bij stil gestaan wordt. De slechtste voorbeelden daarvan zijn systemen waarin iedereen maar als admin is toegevoegd, dan weet je gewoon dat er ook accounts met niet al te sterke wachtwoorden tussen zitten.

[Reactie gewijzigd door gooos op 22 juli 2024 20:32]

Tja, dat helpt niet als je dat wachtwoord vervolgens onbewust doorgeeft aan de aanvaller. Veel beter zou verplichte (hardware) 2fa zijn.
En dat maakt vervolgens het "je werk doen" zo omslachtig dat medewerkers bochtjes gaan afsnijden om toch maar dat te kunnen doen waarvoor ze aangenomen zijn: hun werk...

Tuurlijk zijn er systemen te bedenken die nauwelijks te hacken zijn, die bijna gegarandeerd veilig zijn, etc. Maar om die systemen dan zo te "embedden" in je dagelijks werk dat je er nauwelijks last van hebt, dat is bijna onmogelijk.

Bij 2FA zie je het opkomen: fatigue attacks. Net zolang een verzoek om een nieuwe code naar je authenticator app sturen totdat het slachtoffer maar ergens op klikt om er maar vanaf te zijn. QR-codes, SMS berichten die je een code sturen - mensen hebben geen idee wat de implicaties zijn van al die berichten of hoe ver de consequenties reiken...

(https://www.bleepingcompu...in-high-profile-breaches/)
Bij 2FA zie je het opkomen: fatigue attacks. Net zolang een verzoek om een nieuwe code naar je authenticator app sturen totdat het slachtoffer maar ergens op klikt om er maar vanaf te zijn.
Ik snap het wel hoor, ik moet bij de overheid inloggen voor het Energie Noodfonds (dat alleen via een telefoonapp kan trouwens...). Elke poging om je DigiD gegevens te laden heeft een nieuwe 2FA code nodig, en vervolgens vertelt het systeem niet waarom het mislukt.

Wat een dramatische ervaring.
Eens, het een zou het ander niet hoeven uit te sluiten. Echter, ik ben wel van mening dat het van de route naar de applicatie toe afhangt.

Stel je kan alleen via een jumpserver naar een applicatie komen als admin dan snap ik de 2FA op de toegang tot de jumpserver, maar dan zie ik een 2e 2FA daarna als een extra hindernis voor de gebruiker waardoor juist inlog vermoeheid kan optreden waardoor juist weer simpelere wachtwoorden gekozen worden. Het blijft een balanceer act in de organisatie en alles valt en staat uiteindelijk bij de discipline en waakzaamheid van de medewerkers.
[i]Sowieso zouden admin rechten aan een apart account (bijv eindigend op -a) gehangen moeten worden /i]
Er zijn duidelijke voordelen en nadelen te benoemen voor beide opties en de een is niet per definitie beter dan de ander.

waaraan ook strengere voorwaarden gekoppeld zijn voor het wachtwoord (bijv min 16 karakters, etc).[
Die voorwaarden werken niet echt in de praktijk. Je denkt waarschijnlijk aan de verouderde NIST regels die al jaren terug zijn bijgewerkt. MFA is daar je enige vriend en hopelijk Passkeys in de nabije toekomst.

Weet alleen wel dat de praktijk wat weerbarstiger is en dat in veel organisaties er eigenlijk niet bij stil gestaan wordt.
Dit is inderdaad het grootste probleem. Security is een doorlopende zaak maar wordt bij veel organisaties niet zo benaderd. Je weet dat er incidenten komen maar voorbereiding is bijvoorbeeld helemaal nog niet uitgevoerd. Het mooie is dat die organisaties daar vanzelf wel achter komen.
Daarom adviseer ik klanten altijd om nooit te klikken op een link. Maak een bookmark aan in je browser en als je een email ontvangt open je de applicatie via de bookmark.

Dit werkt natuurlijk niet altijd, maar neemt al een hoop risico weg.
Jorgen Moderator Beeld & Geluid @frere10 februari 2023 09:50
Ik las dit in eerste instantie als "maak een boookmark vd malafide link" en dan kom je natuurlijk nog steeds bij de rotzooi uit ;)

Je moet zo'n lijst in elk geval niet door je klanten/medewerkers laten maken, maar de complete lijst zelf aanbieden als werkgever of it-beheerder
Andere optie is om waar je naar verwijst makkelijk te vinden op de standaard intranet pagina.

En dan in de mail te zeggen, zoek naar 'heb ik morgen mijn baan nog' via intranet om de meest recente reorganisatie aankondiging te vinden.

De belastingdienst doet het misschien wel irritant, maar goed. Je weet gewoon dat je niets via de mail aangeboden krijgt, maar alleen notificatie dat je naar het officiële kanaal moet gaan.
Dat werkt eigenlijk altijd niet. De hele reden om een link te sturen is om op een specifieke URL aan te komen. De generieke URL's kan je dan wel in een bookmark hebben, maar dat gaat niet helpen.

Het zou beter zijn om de links een duidelijke forwarding server uit te laten komen. Dan moet je het natuurlijk wel zo doen dat je die altijd kan vertrouwen en duidelijk maken aan je werknemers dat het te vertrouwen is (zijn we er nog, Microsoft Outlook, met je oneindige onleesbare links?).
Nou, bij mijn internetdiensten werkt het heel vaak wel en soms niet. Ik krijg vaak emails met een directe links naar bijvoorbeeld een factuur. Maar ik kan toch inloggen via mijn bookmark en dan naar het menu facturen gaan.
Zo ook met bijvoorbeeld alle berichten van ING, belastingdienst en waterschap. Zo ook van tweakers bijvoorbeeld. Als je een email ontvangt omdat je een reactie hebt op een post of advertentie. Dan kun je toch gewoon inloggen via je bookmark en heb je het notificatie belletje in de header.

Dus voor mij werkt het prima via bookmarks, uitzondering daargelaten.
Ja, OK, je hebt nog wat werk te verzetten, maar als er op de site de meldingen makkelijk terug zijn te vinden werkt het wel. Beetje zoals de berichten inbox van de overheid: u heeft een bericht... Bij mijn werk zijn de linkjes soms te obscuur, hoewel het lijkt of ze er langzamerhand beter in worden.
Tja, daarom hamer ik er ook al jaren op dat werkgevers het makkelijker moeten maken om echte mails en urls van valse te onderscheiden.
Dat is geen taak van alleen de security & awareness afdeling, daar moeten alle afdelingen in meewerken.
Maar vergeet maar dat je daarin dan enige medewerking krijgt van bv een marketing afdeling.
Tja, dan is het tijd om de mail-privileges van marketing in te trekken. Als marketing een acuut beveiligingsrisico oplevert, dan moeten IT & Legal even overleggen.
Vind ik "leuk" aan het spel Final Fantasy 14, een online spel waar er dus een risico op phising bestaat om achter iemands login gegevens te komen.

Ze gebruiken al verschillende domeins voor hun officiele sites, gebruiken ze ook nog eens een url shortener voor hun eigen berichten in de launcher waar ze natuurlijk alle ruimte hebben... tja dan maak je het de scammers wel heel makkelijk als mensen een aantal verschillende domeins moeten onthouden alszijnde legitiem.
Yep, en ondertussen al je spelers forceren iedere keer hun wachtwoord + 2FA te gebruiken "want er worden zoveel accounts gehackt". Mooi spel, maar af en toe wat minder snuggere beslissingen daar.
Precies dat.

Er is altijd wel een zwakke schakel. Je kan beter zorgen voor een goede scheiding in rechten en plekken waar iemand bij kan.

En dit houd dus ook in dat dit moet gelden voor de ITer en de directeur!
Zero trust, waarbij de mensen / projectleiders zelf verantwoordelijk zijn voor wie er bij de gegevens kan. Die zijn sowieso de enigen die daar zicht op hebben. Anders krijg je van die dingen dat een PM toegang tot een map vraagt, en dan moet de IT'er aan dezelfde PM vragen of degene er daadwerkelijk wel bij mag.

Ik ben niet zo'n voorstander van e.g. Teams wat betreft transparantie (of eigenlijk het gebrek daaraan) maar het is een heel stuk beter dan zo'n projectmap die voor iedereen open staat.
Regelnummer 1 werkgever hoort niet gegevens te vragen via mail. Probleem opgelost.
Worden dan nog gegevens gedeeld dan zijn de werknemers schuldige.
En als gegevens gedeelt worden een mail adres gebruiken die iedereen uit het hoofd kent.
Of je werk nog niet of het is een klein bedrijf, want ik zie ze bij ons niet de wereld over gaan om jou methode te gebruiken.
Ik weet niet over welke methode maar.
Als jij werkt dan heb jij vast wel mijnoverheid Emails gehad.
In die mail heb jij ooit een link naar de website gezien? Antwoord is nee.
En dat is geniaal want bijvoorbaat weet je als er een link is is het nep!
En dat soort simpel dingen kunnen drastisch de veiligheid vergroten.
Die testen zijn een lachertje: op mijn werk zijn ze ook gedaan.

1 er werd gratis opslag aangeboden (ongeveer 10 % van het bedrijf en dan met name leidinggevenden gaan daarover en zouden er interesse in hebben) Dus je test 10% en geen 90%

Als dataminer zou ik het anders testen en hier een paar waarschuwingen:

1 kijk naar de CAO onderhandelingen. Die gaan met name over loon. Stuur een mail over loonsverhoging en de onderhandelingen. Daarmee test je 90% van het bedrijf. (Geloof mij maar als het over loon gaat gaan veel patronen ineens overboord en daarmee ook de regels ineens overboord)

2. Hanteer intern een andere huistijl dan extern. Veel hackers kopiëren gewoon logo's van een website en zo ook de opmaak. Is je interne berichtgeving altijd rood en extern groen. Dan krijgen je phishing berichten bijna altijd een groene opmaak mee. (Mits hackers dit weten door een andere hack)
Ook zo met logo's. (En verander dit dus ook eens in de zoveel tijd)


3. Zorg voor ervoor dat je 2 communicatie adviseurs in dienst hebt. 1 voor de communicatie naar binnen en 1 voor naar buiten. Bij een gerichte phishing campagne zorgen ze ervoor dat de schrijfstijl overeenkomt met die ze aantroffen op de website. Let er dus ook op dat diegene die vacatures plaatst en bepaalde dingen uitdraagt ook niet diegene van PZ of HR. Die over de CAO communiceerd.

4. Zet functies met veel afhankelijkheden nooit op websites. (Nu is dat met directeur wat lastiger) maar geef ze desnoods een intern apart email adres.

Bedrijven worden vaak niet gehacked door een paar combinatie:

Vaak is het hagel: laten we 10tallen bedrijven proberen. Dat is echt niet gericht.

Er zit vaak meer psychologie achter dan programmeren. Maar je moet eigenlijk een combinatie van beiden goed hebben wil het slagen. (De meesten willen snel geld en tijd =geld) Idiologische hackers zijn dan ook de gevaarlijkste hackers!

Je moet informatie koppelen met verwachtingen en daar op inspelen.

Als je bijvoorbeeld weet er zijn cao onderhandelingen gaande over loonsverhogingen en mensen verwachten daar een uitkomst in. En je stuurt daar een testmail over rond. Met de opmaak en links van vorige jaren maar een gespoofde link erin. En een gespoofde site.

Dan kan ik je garanderen dat 90% gaat klikken. Nog een link van intranet met een gespoofde webpagina waar iedereen zijn wachtwoord moet invoeren om toegang te krijgen tot de CAO informatie. En je hebt de gegevens.

Of je stuurt de nieuwe CAO als PDF rond.
Veel mensen zullen die pdf zomaar openen.

Helemaal als je net het hoofd van HR via LinkedIn hebt opgezocht en of via facebook (en nee info is niet altijd up to date maar opleiding=vaak functie). En dat mail adres spoofed (of het mailadres dat onder de vacatures staat op de eigen website)

Zet dus ook 2fa aan.
Dergelijke awareness testen worden hier op de Universiteit Twente ook gedaan, en tevens verontrustend hoeveel mensen er op klikken.
Toen ik nog op school zat (Inholland) werden deze testen ook uitgevoerd. Ik heb de mail opengeklikt en de URL in virustotal ingevoerd om te kijken wat het was. Resultaat: gezakt voor de test :(.
Zoiets had mijn vorige klant ook. Ik liet automatisch een scanner meelopen op alle mail van hun omdat ik die exchange servers niet vertrouw.
Alleen al het openen van de link door de scanner werd als een fail gezien :X
0 interactie met het domein, puur het ophalen van de HTML.

Nu snap ik wel dat je bevestigd dat het adres bestaat, maar kom op. Het standaard formaat van voorletter + achternaam@bedrijfsnaam. Gezien ze mijn naam bij de "medewerkers" vermelden is dat 100% te raden.

[Reactie gewijzigd door hackerhater op 22 juli 2024 20:32]

Dit kan je toch doen door alle legitieme urls in een lijst te gooien, dan alle mails op de linken te controleren en highlighten als er verkeerd teken in staat?

Ja het is een klote job om alle urls erin te krijgen, maarja na een dag stom werk doen ben je dan wel weer stukje verder qua phishing technieken
Een dergelijke lijst is er wel, maar die is zeker niet gekoppeld aan het spamfilter. Ook bevat de lijst puur applicaties die officieel door het ICT dienst ondersteund worden. Er draaien op groepsniveau ook tig applicaties, waar geen centraal overzicht van is.

Daarnaast zullen mensen elkaar ook regelmatig mails met URLs sturen van externe applicaties, wat doe je daar dan mee?
Dat moet je dus wel koppelen natuurlijk.

links naar externe applicaties, dan blokkeren om daarop te klikken + automatisch ticket naar helpdesk om te controleren, als malafide dan op blacklist, anders toevoegen aan een filter.
Goeie firewall ertussen en een antispam omgeving met sandbox kan een hoop doen in dit soort gevallen.

Firewalls bij meeste van mijn klanten scannen op inhoud en categorie van paginas, ja dit zorgt ervoor dat IT een whitelist bij moet houden, maar liever dat dan andersom.

De sandbox opent iedere link die in een mailtje zit in de remote cloud omgeving en scant de pagina op inhoud en eventuele phishing/spam activiteiten, blokkeert wanneer nodig en houdt voor het geval dat een lijst bij met wie er op de link hebben gedrukt in het geval van een false negative, beheerders die hun admin credentials op een onbekende plek invoeren doe je niks tegen.

Maar dat blijft zo, we hopen dat beheerders slim genoeg zijn dit niet te doen en we beveiligen zelfs beheerders in hun toegang tot systemen middels 2fa en wat andere zaken.
Jouw middelste paragraaf is wel echt het probleem hierin. Ik heb ook wel eens op een phishing test link geklikt, en dan stond daarna op sharepoint dat we het hadden moeten weten omdat de URL een letter had omgedraaid en omdat er wat grammaticafouten in zaten.

Alleen.. onze marketing afdeling kan amper Nederlands, grammaticafouten staan in vrijwel ieder bericht dat gedeeld wordt, en er worden nogal wat domeinnamen gebruikt die net een beetje afwijken van de website van ons bedrijf, als het niet een derde partij is waar onze bedrijfsnaam helemaal niet relevant is in de URL.

Maar daarbij zijn er gewoon mensen die hoog in de IT-afdeling zitten die in phishing mails trappen, dus je kan van Annie die vroeger de administratie nog met de hand heeft gedaan en nu ineens achter de computer moet zitten echt niet verwachten dat ze hier niet in trapt.
Je kan het zien aan size.nl ipv esize.nl.
Dan moeten je wel inzicht hebben in welke domeinen je gebruikt.
Misschien even de echte links ( :X ) vervangen door neppe? Je weet maar nooit :)
Heb ik wel overwogen, maar ik hoop dat we niet vertrouwen op security by obscurity, en de authenticatie goed op orde is.
Waarom het risico nemen. Elke laag die je toevoegt aan beveiliging, hoe klein ook, is er 1 :)
Je kan toch ook klikken en wel vermoeden dat het nep is? Om te kijken waar je uit komt en wat ze vragen? Als je dan niets invult ben je er niet ingetrapt.

Ik moet zeggen dat ik bij een factuur per mail van mijn verzekeraar ook pas een paar minuten naar mijn scherm heb zitten kijken hoe ik moest controleren of het wel klopte (het was een qr code zonder leesbare info). Uiteindelijk maar betaald omdat ik wel bij die verzekeraar zit, maar ik vind een qr code op deze manier geen verbetering; Ok als ik het zelf trigger op websites om te betalen, maar via mail heb ik liever leesbare info dat ik kan controleren dat het rekeningnummer klopt en dergelijke.
Ik begrijp je argument maar ik heb het idee dat er bij Reddit toch iets meer moeite is gedaan om aan die accountsgegevens te komen. Zo heeft de aanvaller het uiterlijk van hun intranetgateway gekloond. De aanvaller moest dus ook weten hoe hun intranetgateway eruit zag. Hij had dan minimaal informatie nodig over bepaalde hardware die binnen Reddit gebruikt wordt. Dat klinkt in ieder geval als een iets specifiekere qua aanpak dan een gedeeld document op één van de grootste documentplatformen ter wereld.
Als hacker ga je dan ook eerst in beeld brengen wie waar werkt via bv LinkedIn en andere sites. Daarnaast zijn er profiel databases waar echte namen aan nicknames zijn te koppelen en ga je sites zoals tweakers of Reddit afstruinen waar mensen die trots zijn op hun werk uitlatingen doen die security wise niet zo handig zijn. Zo bouw je van buitenaf een beeld op, doe je je voor als leverancier of collega en werk je jezelf naar binnen. Soms zit daar maanden werk in en zit je een half jaar binnen voordat je in actie komt. Dat halve jaar is dan weer in verband met de bewaartermijn van logging zodat je sporen niet te vinden zijn.
Phising mail zelf doen vind ik een dom idee (gedeeltelijk afhankelijk hoe er met de resultaten word omgegaan). Vaak worden de mensen die erop clicken daar op de hoogte van gesteld, al dan niet met een verplichte awareness training en/of gesprek met de manager. Dat zorgt ervoor dat zo'n gebruiker, mocht hij in een echte phising mail trappen, dat dan onder de pet wil houden omdat hij anders 'straf' krijgt.

Verder is zo'n medewerker phising mail geen goed idee omdat je als bedrijf 'te goed' bent. Je weet alle mailadressen, dus als ik collegas om mijn heen vraag of ze zo'n mail ook hebben gehad, en iedereen zegt ja, dan is dat weer een pluspuntje in het voordeel van de mail.

Daarnaast zijn veel niet-phising mails niet te onderscheiden van phising, en medewerkers vertellen dat ze dom zijn of een 'goed gesprek' krijgen omdat ze erin trappen zorgt er alleen maar voor dat ze in de toekomst beter hun best doen om zo'n foutje verborgen te houden. Dat wil je al helemaal niet.
Zo te horen heb je niet met de juiste partijen te maken gehad. Ons bedrijf voert o.a. dit soort phishing campagnes uit bij klanten, waarbij klanten alleen hoog over resultaten krijgen. Ze ontvangen dus dus alleen percentages, meestal op team niveau als deze teams niet te klein zijn. Het is nooit de bedoeling om personen persoonlijk aan te spreken, maar wel om het bewustzijn in de gehele organisatie te verhogen. De aantallen hierboven dat 10% klikt vind ik laag, vaak zien we hogere aantallen tussen de 30-40%. Dit is ook sterk afhankelijk van het type bedrijf en de gemiddelde leeftijd en digitale vaardigheid van de medewerkers.
In heel veel gevallen blijkt de mens de zwakste schakel van de beveiliging te zijn.
Het klikken op een link in een mail lijkt domweg niet uit te roeien te zijn. Als men daarna de inlog gegevens in moet vullen, dan zouden toch de alarmbellen af moeten gaan.

In een aantal gevallen kan een 2FA de toegang van onbevoegden nog voorkomen. Helaas vinden veel bedrijven dat te lastig. Als het al aangezet wordt, dan wordt het vaak uitgeschakeld wanneer met via het eigen netwerk inlogt. Helaas zitten hackers niet alleen in Rusland, China of Verwegistan, maar ook wel eens binnen het netwerk, of hebben daar een "vriendje" zitten. Eenmaal binnen is het vaak gemakkelijk om even wat aanpassingen in het account te doen, zodat de hacker de 2FA kan omzeilen.
Bij ons dus ook. Dat vervolgens de afdelings it contactpersonen mails gaan rondsturen dat dit een phishingmail was, mitigeerde volkomen het doel van de meting (0 clicks)

Voortaan licht it security de lokale contact personen toch maar in.
Dat is nog een goede score. Bij ons hebben we tests gehad waarbij 25-30% van de mensen op de link hebben geklikt. Wel waren er minder mensen die hun credentials invoerden.
Ik snap deze denkwijze echt niet. Dit soort phishing aanvallen zijn vaak heel goed gedaan en zijn daarom heel moeilijk tegen te houden. Mensen blijven mensen en maken fouten.

Je verwoord het net alsof iemand die een fout maakt meteen ontslag verdiend. Zullen we dan ook gewoon even alle CEO's ontslaan die teveel mensen hebben aangenomen? Dit was toch ook een fout?

Het is gewoon zaak dat je interne communicatie als bedrijf beter afschermd en ervoor zorgt dat phishing mails minder makkelijk aankomen bij personeel met veel verantwoordelijkheden. Ook moet er goede credential management zijn die ervoor zorgt dat als aan aanvaller succes heeft dat de schade beperkt is.

Persoonlijk laat het feit dat er geen klantgegevens buit gemaakt zijn, voor mij zien dat reddit dit deel aardig op orde heeft. Wel zullen ze deze dingen nog wel wat strakker gaan trekken na deze aanval.

[Reactie gewijzigd door rjd22 op 22 juli 2024 20:32]

"Dit soort phishing aanvallen zijn vaak heel goed gedaan en zijn daarom heel moeilijk tegen te houden. Mensen blijven mensen en maken fouten."

Daarom zie ik een toename van 2FA "everywhere all the time" en niet alleen als je buitenshuis bent. Ik heb veel klanten waar bv. de badge of fingerprints gebruikt worden om, naast het password, in te loggen. En dat zijn dan geen fingerprint-readers van een tientje. En een SMS code krijgen is ook niet veilig genoeg.

Deze hacker meneer/mevrouw/ietsdaartussen had men kunnen stoppen met **goede** MFA.
Hoe dan? Als iemand denkt dat het een legit site/login is en zijn pass ingeeft dat zal hij de MFA token ook gewoon ingeven. Helemaal als de medewerker dit "everywhere all the time" moet doen. Je maakt dan mensen alleen maar MFA moe en doen ze het gewoon op de automatische piloot.
Hoe dan? Als iemand denkt dat het een legit site/login is en zijn pass ingeeft dat zal hij de MFA token ook gewoon ingeven.
Klopt, min of meer, MFA wordt veel verkeerd begrepen en de term heeft meerdere interpretaties.

In de meeste stricte zin betekent MFA alleen dat je meerdere authenticatiemethodes gebruikt.
Dat voorkomt inderdaad niet dat mensen hun wachtwoord (en andere codes) laten lekken aan een man-in-the-middle. Het enige dat MFA daar doet is zorgen dat de aanvaller niet later opnieuw in kan loggen met de gestolen gegevens. MFA voorkomt zeg maar niet dat een inbreker binnen komt door met iemand mee naar binnen te glippen door een openstaande deur. MFA voorkomt wel dat de inbreker 's nachts terug komt en de deur zelf open maakt.

MFA is er niet om phishing te voorkomen, maar omdat phishing niet te voorkomen is.
MFA is er om de gevolgen van phishing te beperken.

De term MFA wordt helaas op verschillende manieren gebruikt. Strict genomen is het alleen een
een verzamelterm voor alle authenticatiemethodes (zolang je er maar meer dan 1 doet). Daar zitten goede en slechte methodes bij en we nemen aan dat het combineren van methodes een sterker geheel is dan de losse delen.

Vaak bedoelen mensen met MFA één specifiek combinatie (je had het bv over een MFA-token) en vaak worden er ook neveneffecten meegerekend. Als je MFA veel breder neemt dan zijn er meer mogelijkheden.
Zo kun je bijvoorbeeld naar het IP-adres van de gebruiker kijken en kijken of dat overeen komt met de ip-range van de werkgever. Dat is een beetje ouderwets en niet erg betrouwbaar maar het is weer een extra factor. Nog zo'n factor is tijd. Je zou kunnen instellen dat een applicatie alleen tijdens kantooruren beschikbaar is. Dat is geen grote hobbel maar wel weer een extra hobbel.

Strict genomen helpt MFA zelf dus niet, maar de "neveneffecten" kun je wel nuttig gebruiken om phishing moeilijker te maken. Bijvoorbeeld door authenticatie via verschillende routes te laten lopen die de aanvaller dan allemaal moet onderscheppen zodat het gewoon veel meer werk is en dus minder aantrekkelijk.

Als je nog iets verder gaat kun je ook de activiteiten van de gebruiker meenemen. Als gebruiker het menu van de kantine wil bekijken dan is het niet nodig om heel streng te controleren. Als de gebruiker toegang wil tot de gegevens van een klant wil je waarschijnlijk wel een extra controle doen. Als gebruiker alle klantgegevens opvraagt dan wil je misschien wel 3 extra controles doen.

Dat richt je uiteraard zo in dat je meestal de makkelijke methodes mag gebruiken zoals een pincode, vingerafruk, of een simpel knopje om op te drukken. Pas als je meer gevoelige dingen gaat doen moet je vaker authenticeren en met zwaardere middelen. Dat betekent ook dat de meeste mensen in de meeste gevallen niet al hun authenticatiemethodes hoeven te gebruiken. Die kunnen dan ook niet onderschept worden door een aanvaller.

Als je via de website van mijn werkgever je bankrekeningnummer verandert dan wordt je bv persoonlijk gebeld door een medewerker van HR op je privé-telefoon en bij de minste twijfel wordt je gevraad om even met je paspoort op kantoor langs te komen ter controle. Dat is een hele zware vorm van authenticatie die
niet eenvoudig te onderscheppen is door een hackertje op internet.

Dat helpt ook tegen authenticatiemoeheid. In plaats van voortdurend alles uit de kast te halen moet je af en toe iets extra doen en wat je moet doen is niet altijd hetzelfde. Als je het goed doet kunnen mensen aanvoelen dat er iets niet goed gaat als ze opeens een extra zware controle moeten doen waar dat normaal niet nodig is.

Daarmee komen we /misschien/ bij wat @Verwijderd bedoelde met "goede" MFA. MFA voorkomt phishing niet, maar een goed authenticatiesysteem had de schade wel kunnen beperken, bv door om extra authenticatie te vragen op het moment dat de hacker de gegevens van meerdere klanten opvroeg.


Even overschakelende op de grotere vraag hoe je phishing voorkomt is een ander "probleem" met de term MFA is dat we het meestal hebben over authenticatie van de gebruiker naar de website toe. Om phishing te voorkomen heb je het omgkeerde nodig. Je wil dat de website (of wat dan ook) zich authenticeert naar de gebruiker toe. Technisch gezien kun je dat ook authenticatie noemen (of zelfs MFA) maar typisch doen we dat niet.

In praktijk doen we deze vorm van authenticatie meestal door de gebruiker op te dragen om het adres van de website in de URL-balk te controleren. Vroeger moest je dan ook nog naar "het groene slotje" kijken maar dat hebben de aanvallers tegenwoordig zelf ook en dat doen we dus niet meer.

Een van mijn persoonlijke hacks is dat ik een speciale CSS-stylesheet op mijn computer heb staan. Die stylesheet herkent de inlogpagina van mijn werkgever en een aantal andere belangrijke sites en zet er een opvallende overlay overheen. Die overlay is echter afhankelijk van de URL waarop die elementen worden aangetroffen. Als iemand een tool gebruikt om een een-op-een kopie van zo'n website maakt op een andere URL dan zal mijn browser hopelijk een aantal elementen herkennen en daar aparte (knalrode) styling op toepassen die niet alleen opvallend is maar het ook onmogelijk maakt om mijn wachtwoord in te vullen.

Het mooie ervan is dat het helemaal op mijn eigen PC draait. Een man-in-the-middle kan niet zien dat ik dit doe. Deze methode is nogal gevoelig voor fouten en vereist veel technisch inzicht om goed op te zetten en is dus niet voor iedereen.
Deze methode lijkt misschien een beetje off-topic maar het is ook een vorm van authenticatie. Het fijne is dat het automatisch gaat en ik niks extra hoef te doen bij normaal gebruik. Het is geen super zware of sterke beveiliging maar dat hoeft ook niet niet, het is extra en alle beetjes helpen.

Enigszins verwant is dat het ook helpt om toegang tot authenticatiemethodes te controleren. Zo kijken sommige passwordmanagers naar de URL van je webbrowser en geven alleen toegang tot een wachtwoord als die URL past bij het wachtwoord waar om gevraagd wordt (liefst na controle van het SSL-certificaat). Dan kan de site pixel-voor-pixel gekopieerd worden zodat mensen het verschil niet zien maar de computer trapt daar niet in en geeft het wachtwoord niet.
Een password manager wil je soweiso goed beveiligen en misschien ook wel met een vorm van MFA.

In deze post heb ik dus al vier vormen van authenticatie aangestipt: Van de gebruiker naar de website (of applicatie), van de website naar de gebruiker, van de website naar de password manager, van de gebruiker naar de password manager. Voor al die vormen zijn er meerdere authenticatiemethodes te bedenken. Op iedere vorm zou je dus MFA kunnen toepassen.


Ik ben een securityfreak en computernerd en over dit soort dingen nadenken en ze testen hoort bij mijn vak. Ik doe het dus allemaal. Deze week telde ik dat ik acht actieve vormen van authenticatie nodig had om mijn laptop te starten en op een bepaalde vergadering in te loggen en dat is nog heel normaal, soms zijn het er nog meer en dan zijn er ook nog passieve controles. Om knettergek van te worden dus. Gelukkig kan ik ook bepaalde stappen combineren waardoor het allemaal niet meer dan 3 minuten kost maar het is wel een hele dans met tokens, telefoons, wachtwoorden, pincodes, biometrie, etc..

Dit bedoel ik niet advies en ik probeer niet te zeggen dat iedereen het zo moet doen. In tegendeel,
voor de meeste mensen zou het totaal niet werken en het zo verwarrend maken dat ze alleen maar makkelijker te phishen zijn. Ik vertel dit om te illustreren dat er niet één "MFA" is maar een hele hoop authenticatieprocessen die allemaal op hun eigen manier beveiligd kunnen/moeten worden.

Absolute veliigheid bestaat niet. Niks is 100% veilig en dat moet je dus ook niet proberen. De kunst is om de behoeftes en de middelen op elkaar af te stemmen zo dat je de gebruikers zo min mogelijk belast als het niet nodig is. Vertrouw niet op één super hoge en dikke muur met gewapende bewakers die alle bezoekers fouilleren bij binnenkomst met maar bouw een paar muurtjes die hoger en dikker worden als je dichter bij de schatkamer komt met steeds strengere controles.

Verlies daar bij niet uit het oog wat je probeert te controleren of te beveiligen in een bepaalde stap. Soms controleer je de gebruiker. Soms moet de gebruiker iets controleren. Soms controleer je hardware. Soms controleert de hardware iets. Soms controleer je software. Soms controleert de software iets.
Ieder authenticatieproces heeft z'n eigen behoeftes en die zijn ook nog eens afhankelijk van de omstandigheden.

Best wel veel dus om allemaal onder de term "MFA" te schuiven.
Voor meeste tokens moet de aanvaller dan al een soort proxy bouwen voor de originele loginpagina. Iets wat niet veel in het wild gebeurd.
On late (PST) February 5, 2023, we became aware of a sophisticated phishing campaign that targeted Reddit employees. As in most phishing campaigns, the attacker sent out plausible-sounding prompts pointing employees to a website that cloned the behavior of our intranet gateway, in an attempt to steal credentials and second-factor tokens.
In dit geval wel zou ik zeggen.
Zou in het Tweakers artikel ook vermeld mogen worden.
MFA is echt verschrikkelijk en intussen zo'n draak dat ik mij best doe om er omheen te werken waar het maar enigszins kan.
MFA voor het inzien van je loonstroken, nutteloos.
MFA voor het inzien van je hypotheek, nutteloos.
MFA voor het openen van berichten op mijn overheid, nutteloos.

Enige waar MFA nuttig zou zijn is bij banken. De rest is slechts info. Daar kun je echt heel weinig mee.
De info die te achterhalen is is wel erg nuttig.

Met je adres gegevens en je BSN (staat op je loonstrook bv)
Kan er identiteit fraude worden gepleegd.

Dus nee dat is 'slechts' info, het is waardevolle info.
Of zien dat je een belasting aanmaning hebt gekregen, kunnen ze daarop richten.

MFA, mits goed geïmplementeerd (en dus met context) is zeer waardevol en voorkomt ongemakken en problemen.
Een BSN is gewoon een identificatienummer van de overheid. Daar is niets geheims aan. Dat sommige als verificatie gebruiken is dan ook niet correct.

Voor ZZP ers was het tijdlang zelfs hun BTW nummer.

Nederland behandeld het BSN nummer gewoon verkeerd, het is een openbaar gegeven niet iets geheims.
Dat is een ander beveiligingsprobleem - BSN misbruiken alsof het een soort beveiligingscode is.
Als je werkgever alle applicaties nou eens aansluit op 1 IDP (Identity Provider) zoals bijvoorbeeld Azure, dan kent het systeem je al en heb je de login alleen onderhuids. Jij klikt gewoon op het icoon en zit in de applicatie. Wel kan het zijn, en zo zou het ook moeten dat als je belangrijke, gevoelige of bepaalde data in wilt zien of wilt wijzigen je een extra MFA request krijgt.

Daarnaast heb je als burger van Nederland te maken met DigiD. Jammer dat pushnotificaties nog niet zijn ingevoerd, maar het simpele feit dat er een centraal systeem is ben ik al erg blij mee.

Tot slot je bank, tja. De Nederlandse grootbanken zijn over het algemeen hopeloos ouderwets en extreem burocratisch, Daarom ben ik klant van Fintech banken.

Beveiliging hoort er nou eenmaal bij, liever dat dan dat mijn gegevens op straat liggen.
En bij fintech banken gaat nooit iets mis? :?
Volgens mij trek je mijn reactie iets uit zijn verband. Een medetweaker geeft aan MFA vervelend te vinden, en in diens ervaring worden er voorbeelden genoemd waarom MFA voor de betreffende niet efficiënt werkt. in mijn reactie erken ik de problematiek en geef aan hoe het deels opgelost kan worden.

In mijn reactie over de grootbanken is het mijn eigen ervaring en persoonlijke mening dat ik ze ouderwets vind. In mijn eigen ervaring hebben Fintech banken bepaalde technieken moderner / logischer ter werking gebracht. En daarom geef ik aan dat het voor mij persoonlijk een oplossing is om klant te zijn geworden van de zogeheten Fintech bank.

In geen enkel opzicht, beticht ik dat de grootbanken het fout doen. Want fout in deze context heeft beveiligingsgevolgen. Het zou feitelijk onjuist zijn als ik ze bericht van het fout doen. Ze hebben immers MFA. Ik uit enkel mijn persoonlijke mening over burocratie en een verouderde bedrijfsvorm en geef mijn voorkeur aan efficiëntie. Dat lijkt mij te blijken uit mijn reactie.

Geef ik losstaand van de context antwoord/ mijn mening op jouw vraag "En bij Fintech banken gast nooit iets mis?" Dan neem ik aan dat je impliceert dat er wel eens wat misgaat, dat is ook mijn ervaring.
Prima toch. Overigens weet ik niet over welke grootbanken je het hebt. Ik heb goede en efficiënte ervaringen met ING, NN, Obvion en Rabo. Als vrijwillig bewindvoerder voor diverse mensen heb ik regelmatig met precaire situaties te maken en tot op heden altijd tijdig en adequaat antwoord gekregen, tot maatwerk oplossingen toe, waardoor iemand in haar huis kon blijven wonen ipv op straat geknikkerd te worden, maar ja N=26 (pun intended) ;)
Oei, ik zie dat er nog wat aan awareness gedaan moet worden. Loonstroken bevatten privacygevoelige data, net zoals je hypotheek. Met een combinatie van die gegevens plus wat OSINT research kom je een heel eind en kan iemand, met genoeg tijd, je leven echt heel vervelend maken.,
Jorgen Moderator Beeld & Geluid @911GT210 februari 2023 09:49
Never mind. Reactie per ongeluk op de op verkeerde post

[Reactie gewijzigd door Jorgen op 22 juli 2024 20:32]

Jorgen Moderator Beeld & Geluid @911GT210 februari 2023 09:57
Niet nutteloos. Weet je hoeveel informatie mensen weten te verkrijgen met Facebookspelletjes als "welke soort aardappel ben jij", "wat zegt jouw nummerbord over jou" en "vind hier hoe oud jouw IQ is"?

Persoonlijke informatie die gebruikt kan worden ter verificatie / wachtwoordgokken / profielopbouw moet je bij spelletjes, onverwachte telefoontjes en e-mail nooit weggeven, en ook niet zonder MFA / goede beschermlaag in een online omgeving weggeven.

(a) heeft niemand er wat mee te maken
(b) hoef je potentiële indringers niet onnodig wijzer te maken
Gebruik Webauthn security keys. Deze valideren de URL van de website voordat ze de MFA token doorgeven aan de website.

Google claimt dat ze geen enkele succesvolle phishing-poging meer hebben gehad sinds ze Webauthn zijn gaan verplichten voor werknemers, en dat geloof ik graag.
Een wachtwoordmanager vult je gegevens ook niet in op een valse site.
Ligt helemaal aan de MFA implementatie. Met push meldingen is dit niet zomaar mogelijk. Een fake website zou namelijk geen MFA aanvraag moeten kunnen doen bij jouw IdP omdat deze niet geregistreed is. Dus wat @rjd22 zegt klopt wel, met een **goede** MFA implementatie had deze aanval gestopt kunnen worden.
Die "fake" websites zijn bijna altijd proxies naar de echte omgeving.
Dus MFA prompt komt gewoon via de echte omgeving, maar de proxy ertussen steelt de sessie cookie.

Dus nee, alleen met FIDO2 kun je dit stoppen, niet met standaard MFA.

Hier voorbeeld van tech wat ze hiervoor gebruiken:
https://github.com/kgretzky/evilginx2
Er zijn al meerdere manieren om ook dit af te vangen. Zo kun je bij Microsoft in de MFA prompt opnemen waar het verzoek vandaan komt en kan Okta zelfs herkennen of je via zo'n MiTM websites komt.
Daarom ook een *goede* MFA, dus bijv. U2F/WebAuthn waar een MITM-aanval niet mogelijk is.
Door MFA los je juist dat probleem op dat je je wachtwoord afgegeven hebt.
De MFA zelf is waarschijnlijk niet gebruikt op die copy site, wat al een red flag had moeten zijn voor de medewerker.
Maar zodra de hacker alsnog inlogt op de echte site met jouw gestolen wachtwoord, dan krijg jij die MFA melding van jouw eigen site, zonder dat je ergens aan het inloggen bent. Als je dan alsnog goedkeurt (of hoe je MFA oplossing ook werkt) dan (pas) houdt het echt een keer op.
Een hacker kan een website perfect nabouwen, maar als jouw MFA oplossing bij jouw on-prem loopt, of goed beveiligd in de Wolk, hoe gaat een Hacker dan het login-scherm van zijn (fake) site laten praten met de MFA back-end. Dan moet ie toch de secret keys etc. etc. van Azure of Duo etc. hebben. Ook moeten zijn fake website tegen jouw authentication-proxies kunnen praten (DUO) en dat wordt lastig als de fake webserver ergens buiten de deur in Noord Korea ouzo staat :-)

Natuurlijk moet je dit wel goed implementeren en niet een dikke beveiligde deur bouwen, terwijl de garagedeur er naast gewoon openstaat.

De hacker kan de username en passwords wel opslaan als mensen er in trappen, dat klopt. Maar om werkelijk in te loggen wordt een MFA getriggert, de gebruiker's telefoon begint te roeptoeteren en denkt "huh maar ik ben helemaal niet aan het inloggen". Iemand die dan doodleuk op Ok drukt, tja daartegen kun je je niet beschermen. Het heet allemaal te maken met barrières opwerpen maar "there is no patch for human ignorance".
Nope toch niet.
Er bestaan méér dan genoeg man-in-the-middle attacks die gewoon je logintoken high-jacken. Lees maar eens over evilginx2. En dat is dan nog eentje die "wijd bekend" is.
In theorie ja.
Hoeveel zaken ben je het afgelopen jaar in het nieuws tegen gekomen waarbij de credentials gejat waren via een man-in-the-middle attack?
Precies: nul!

Zolang het mensen nog steeds massaal in simpele phishing mails trappen gaan hackers niet 1000x zoveel tijd en moeite steken in een man-in-the-middle attack.
Ik neem je comment op als "diegene die gejat werden via MITM zijn nog niet uitgekomen".
Als end-user weet je namelijk niet dat je credentials gejat zijn (dat zijn ze ook niet, enkel je session-token).
Dat laat hackers toe om achter de schermen je mailbox even door te browsen, of zelfs simpel een SMTP-forward op te zetten.
Ik neem je comment op als "ik stop mijn vingerns in mijn oren en blijf overtuigd van mijn gelijk".
Leg eens uit waarom deze en vele andere hacks wel uitkomen en alleen MITM attacks niet.
"nog niet uitgekomen" is nogal een vreemde opmerking aangezien MITM attacks niet iets zijn dat pas vorige week is uitgevonden.

Nogmaals: Waarom een moeilijke MITM attack uitvoeren, als het zoveel makkelijker kan met een zeer hoge kans van slagen?
"ik stop mijn vingerns in mijn oren en blijf overtuigd van mijn gelijk".
Inderdaad, mensen zoals jij, die denken dat 2FA/MFA dé heilige graal is & je beschermd tegen hacking van je accounts, zijn juist de mensen die de ooglappen mogen verliezen.
Leg eens uit waarom deze en vele andere hacks wel uitkomen en alleen MITM attacks niet.
Juist doordat een MITM attack achter de schermen gebeurt, zonder dat een user iets doorheeft.
Zoals Reddit zelf uitlegt, gaat het in hun hack over "plausible sounding prompts". Via een degelijke MITM/proxy attack, gaat het hem om de échte prompts, met je échte 2FA/MFA confirmatie.
Waarom een moeilijke MITM attack uitvoeren, als het zoveel makkelijker kan met een zeer hoge kans van slagen?
Héél simpel. Gericht aanvallen.
MITM (via proxytools dan vooral), werkt inderdaad niet op een breed publiek. Eerst zal via conventionele manieren gezocht worden naar de personen die de tijd & energie waard zijn.

MITM is zéker niet nieuw, en met 2FA/MFA een pak moeilijker te bereiken/uit te voeren.
Maar,
Deze hacker meneer/mevrouw/ietsdaartussen had men kunnen stoppen met **goede** MFA.
-> Op welke manier zou een **goede** MFA een MITM kunnen voorkomen dan?
Sessions pinnen op een specifieke login is triviaal en dat deed ik met mijn pruts framework 13 jaar geleden al.
Ow je hebt de sessie-id gepikt? Leuk, maar zodra je de eerste request doet wordt die sessie eruit geknikkerd.
Het gaat niet om enkel de sessie-id hoor.
Er zijn een aantal zéér mooie PoC's met EvilNGINX2 end Modlishka die daadwerkelijk wat verder gaan dan enkel een session-id pikken.
Bij wijze van spreken is het enige wat je nodig hebt, een DNS-override op je end-point. De rest is zo goed als transparant voor de end-user.
Aka mallware op het device. Als je zo'n dingen kan doen, wat houd je tegen om een keylogger te installeren? Dat is heel iets anders dan een MITM-aanval.

Je kan wel een domein eventueel omleiden als je controle hebt over de DNS, maar wat doe je aan het TSL-certificaat? De browser gaat die echt niet accepteren voor je nepwebsite met de url die je na bootst.
En indien de server goed ingesteld was, lukt een downgrade naar HTTP ook niet.

Het is niet voor niets dan phishing zo effectief is. De gebruiker is bij een goed ingesteld systeem de zwakste schakel. Daarom ben ik ook een voorstander van hardware tokens voor 2FA. Die simpelweg weigeren te werken als de url niet 100% klopt.
Een gebruiker trapt wellicht in een goede email met een erg lijkende url. Een machine niet.

[Reactie gewijzigd door hackerhater op 22 juli 2024 20:32]

Malware op het device? Vanwaar haal je dat ineens?

Een keylogger zal je 2FA/MFA nog altijd niet kunnen bypassen.
Stel dat ik via spear-phishing de login-gegevens heb van een account die de corporate DNS (intern) kan beheren? Of een rogue DHCP die "mijn" DNS servers zal uitdelen.

Lees je even in hoe EvilNGINX2 werkt, dan zal je zien dat TLS-certs geen issue zijn/hoeven te zijn.
Ik ben heel erg aware hoe die dingen werken, echter er zitten meerdere beveiligingen die zo'n aanvallen heel moeilijk tot onmogelijk maken zonder dat je beheerders-rechten op het device hebt.

Zelfs als je een proxy in de communicatie kan zetten (wat een MITM is) heb je de volgende hurdle:
1) Of je maakt het domein na met iets andere domeinnaam (menselijke zwakheid) waardoor je een geldig certificaat hebt OF je geeft de echte url 1 op 1 door waardoor je tegen de volgende hurdle aan loopt

2) Certificaten zijn hard op een domeinnaam gepind. Jij hebt de private key van dat cert niet en kan dus geen geldig certificaat aan vragen voor dat domein. Een ander cert geeft een harde error.
Mogelijke uitweg: downgrade attack naar http, counter: https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

3) Enige omweg daaromheen: een root cert installeren op het device, welke beheerderrechten vereist.

Again: de gebruiker is de zwakste schakel.

[Reactie gewijzigd door hackerhater op 22 juli 2024 20:32]

Je hebt helemaal niets op het device nodig, anders dan mee kunnen liften op de netwerkconnectie die er leeft om evt. interne resources te kunnen raadplegen (dus om zelfs gegevens te verkrijgen voor niet-internet facing sites).

Je hoeft enkel het login request te proxyen (inc. de MFA) en de geretourneerde sessie informatie te gebruiken (niet hijjacken, als je er toch al tussen zit ben jij immers de client, en heb je een geldige sessie, de auth gegevens hoeven niet eens naar de aanvaller gestuurd te worden, maar ja, als je ze toch al hebt waarom ook niet?).
Het proxyen hoeft niet eens server-side te gebeuren (zou wel gemakkelijker zijn om CORS ellende (hoevaak worden de CORS headers op '*' gezet uit gemakzucht) te omzeilen, maar niet nodig).

Een MITM aanval is echt niet moeilijk en het is nog best lastig om je hiertegen te beschermen. Je hoeft ook geen domeinen te kapen of tot wat voor resources dan ook toegang te hebben. Je hoeft enkel de gebruiker ergens naartoe te leiden waar je zelf een mate van controle uit kunt oefenen over het verkeer (9 van de 10 keer wordt niet aandachtig gekeken naar wat er in de adresbalk staat, en daar een geldig ceritifcaat op hebben is tegenwoordig ook triviaal te regelen, en vrij anoniem te doen).
Je hoeft niet eens het portaal na te maken, immers bestaat het ding al, je hoeft enkel een dun laagje te bieden die de sessie en content kan beinvloeden.

De enige belangrijke pre-conditie voor de hacker is bekendheid met het doelproduct, om zo gericht verkeer voor te kunnen bereiden.

Iets anders:
Een vaak voorkomend probleem met 1 van de meeste gebruikte MFA, nl. TOTP is dat de implementatie heel erg ge-ent is op de eerste 'T' en minder op de volgende 'O'. Er zijn meerdere paketten geweest, en het zou me niets verbazen als er nog steeds paketten bijkomen die de TOTP meerdere malen accepteren binnen het timeframe. Ik zou dus als aanvaller de login door kunnen sturen naar de echte site, en direct erna (omdat ik mijn huiswerk heb gedaan, en weet hoe het pakket werkt) met dezelfde TOTP als gebruikt voor het inloggen MFA in zijn totaliteit kunnen disabelen voor het account.

MFA is een drempel, maar ook echt niet meer dan dat.
Als je er zo bekend mee bent, dan weet je toch zelf dat dat non-issues zijn...

Zo ongeloofwaardig is het niet dat je via (simpel gezegd) de credentials die je hebt van Jan-de-ITer, buiten de DNS zones kan beheren ook even kan inloggen op de CA's.
Of profiteren van de zwakke security op de Windows CertStores & daar de wildcard van het domein even gaat exporteren.

100% gelijk dat de gebruiker de zwakste schakel is. Altijd en overal.
Uiteraard moeten dezelfde beveiligingen ook voor Jan-de-ITer gelden zodat ook zijn sessie niet overgenomen kan worden. Maar als Jan-de-ITer zoveel rechten heeft, waarom heb je dan nog een MITM voor de rest nodig?

Met de creds van de hoofd admin kan je mallware naar het apparaat van de CEO pushen :?
"If someone gets root access on your machine, it is not your machine anymore"

Als de aanvallers tot het niveau van netwerk admin/root komen het is all over, dan helpt niks meer.
Het gaat erom om ze te stoppen voor ze zover komen.

[Reactie gewijzigd door hackerhater op 22 juli 2024 20:32]

Nu, ik kan de discussie nog uren voeren.
"Waarom -> Daarom".

Malware kan simpel opgepikt worden door endpoint-protection suites (SentinelOne, ESET, .... noem maar op).
Het hele idee van de MITM attacks, is dat niemand "weet" dat je aan't prutsen bent.

Hangt natuurlijk ook veel af van wat je einddoel is. Gaande van wat data verzamelen over hoe het bedrijf werkt, over naar in kaart brengen van hun zwaktes/sterktes tot het effectief longterm gaan monitoren van een persoon/team gedurende lange tijd.
Het mooiste voorbeeld die ik uit de praktijk kan aanhalen, was data-mining op een CEO waarbij al voor meer dan een jaar al de mails via een mailbox-forward naar een extern Gmail account gebeurden.
Als je die rechten al hebt, houd niks je tegen om andere gebruikers aan te maken.
Om automatisch alle mails van iemand door te laten sturen.
Je mallware in de whitelist van de scanners te zetten of de scanners compleet uit te schakelen.
Als de logs niet read-only zijn voor iedereen kan je zelfs al je acties in de logs verwijderen waardoor je geen enkel spoor achter laat.

Als iemand zo ver komt is alles betreft het bedrijf compromized.
Jij bent het waarschuwen wat hoogwater kan doen, terwijl de dam al doorgebroken is en het dorp allang niet meer bestaat.

De rechten van een CEO in een netwerk zijn te verwaarlozen vergeleken met de hoofd administrator.
Dat is de reden waarom je meerdere lagen van beveiliging hoort te hebben voor iedereen. Zodat niet al die lagen in 1 keer doorbroken kunnen worden.
Nu is de praktijk helaas anders bij bedrijven waardoor ze hooguit 1 verdedigingslaag hebben.

[Reactie gewijzigd door hackerhater op 22 juli 2024 20:32]

Ik ga toch nergens tegen je in?
Het gaat hem om "hoe" je die rechten verkrijgt, en vooral over hoe dat 2FA/MFA een verkeerd veiligheidsgevoel geeft. Wat ik schreef, is dat MITM een perfect concept is om dit te doorbreken, zonder dat het gros van het publiek doorheeft dat er iets aan de hand is.

De rechten van een CEO zijn inderdaad te verwaarlozen. De informatie die door z'n accounts gaat niet.

Soit, nutteloze discussie aan het worden IMHO.
Bij punt 2 vergeet je m.i. BGP hijacking. Voorbeeldje:
https://arstechnica.com/i...ocurrency-holders-235000/

Certificaat zegt dus niet altijd alles.
Ik heb nergens gezegd dat MFA de heilige graal is.
Je moet mij geen woorden in de mond gaan leggen als je geen antwoord hebt.

Suggereren dat MITM attacks nooit uit komen en daarom niet in het nieuws komen is je reinste waanzin.
Waarom antwoord je dan zelf niet op m'n vraag?
Deze hacker meneer/mevrouw/ietsdaartussen had men kunnen stoppen met **goede** MFA.
-> Op welke manier zou een **goede** MFA een MITM kunnen voorkomen dan?
Omdat ik niet van mening ben dat MFA de heilige graal is.
Maar als je een specifiek bedrijf wil aanvallen, dan vergroot je wel de kans op een succesvolle poging als je er "iets" meer moeite in steekt.
Ze hebben een reddit medewerker kunnen foppen. Wat als die persoon admin rechten heeft op het platform? Stel je eens voor wat je daar als hacker mee kunt doen.

Ja, je kunt met (simpele) phishing mails een paar mensen foppen.
Maar wat er vaker gebeurd zijn geavanceerde aanvallen op bedrijven en daar wordt wat meer tijd en moeite in gestoken om tot een succes te komen. Want door dat succes kun je geld krijgen.
Nee hoor. Ook die grote successvolle aanvallen beginnen in vrijwel alle gevallen met een simpele phishing mail.
Ik bepaal in ons bedrijf welke mails we gebruiken in onze phishing drills. Ik weet precies welke mails wel en niet werken. En mensen die phishing mails maken weten dat ongetwijfeld ook, want het is geen rocket science.

Wanneer ze met een phishing mail zijn binnen gekomen gaan ze daarna verder om meer credentials te vinden. Dit patroon zie je bv terug bij alle grote malware aanvallen waarbij de aanvallers al een paar maanden binnen waren.
Je bevestigd inderdaad wat @SPee zegt.
Het begint als een zéér basis phishing campagne, daarna worden specifieke users getarget.
Getarget met andere phishing mails, of wat ook vaak gebeurt is dat ze wachtwoorden van andere accounts vinden.
Nog steeds geen geavanceerde aanvallen.
Oh toch wel hoor. Ik denk gewoon dat jij er nog niet mee temaken hebt gehad.
Eens het duidelijk is welke users getarget moeten worden, gaan partijen tot ver buiten de comfortzone van een "phishingmailtje" om hun target te bereiken.
Van het rondstrooien van USB-stickjes bij de wagen van een CFO, tot het opzetten van rogue access points in hun favoriete weg-restaurants.

Er is een reden waarom men in high-secure omgevingen werkt met dichtgetimmerde laptops, always-on-vpn, interne mailservers, ....
Vertel eens hoe een always-on-vpn hierin helpt tov een normale vpn?
En hoe een interne mailserver iets zou toevoegen vs een O365 E5 licentie?

Jij hebt mooie theoretische kennis, maar ik heb daar de praktijk kennis en ervaring bij. USB stickjes en rogue access points zijn zeldzame situaties, maar tegelijkertijd zijn er prima technische oplossingen om je daartegen te beschermen.

Gebruikers die massaal phishing mails open klikken zijn veeeeeel lastiger.
Ik weet precies welke phishing mails je moet maken waar 30% van de gebruikers in trapt. Geen typo: dertig procent.
Die zwakke plek in je verdediging kun je heel lastig oplossen.
Mail afschaffen is in de meeste bedrijven geen optie.
Vertel eens hoe een always-on-vpn hierin helpt tov een normale vpn?
Er zijn ettelijke voordelen voor. De mooiste ervan is dat je effectief de traffic van je users gaat controleren en sturen. DPI op je firewall heeft geen enkel voordeel wanneer je user van thuis aan't werk is en enkel maar een aantal subnets gerouteerd krijgt over z'n VPN.
En hoe een interne mailserver iets zou toevoegen vs een O365 E5 licentie?
Ik zal je vraag opnemen als "hoe een interne mailserver iets zou toevoegen VS Exchange Online", zoals ik denk dat jij ze bedoelde. (Je kan moeilijk een licentie gaan vergelijken met een serverfunctionaliteit).
Omdat je daar het volledige login-traject, en management, gaat beheren & pakker meer opties hebt dan met je Exchange online. Een simpel voorbeeld is dat je de toegang tot je admin portals kan dichttimmeren tot zover jij dat wilt. EXO is enkel maar bescherm door een login. (bij wijze van spreken).
Jij hebt mooie theoretische kennis, maar ik heb daar de praktijk kennis en ervaring bij.
Nogtans wijzen je basis vragen naar iets anders...
Ik werk zij-aan-zij met onze NetSec team bij het designen en implementeren van systemen. (Hiervoor enkele jaren als manusje-van-alles in Interne IT). Onze teams stoppen niet bij enkel maar een "testje" van wat phishing. Wij helpen actief om bedrijven (in België welsiwaar) te beschermen zo goed as hun budgetten het toelaten. ISO27001 vraagt bijvoorbeeld dat je dit alles neerschrijft. Ook verschillende verzekeraars vragen je actief om aan te tonen hoe je je beschermd tegen al die (zoals jij ze noemt) zeldzame situaties.

Net zoals in België vermoed ik dat jullie in Nederland ook wel bepaalde omgevingen (lees: bedrijven/instanties) hebben die met highly-secure zaken werken. Ik kan me moeilijk inbeelden dat jullie nucleaire reactoren hun security policies draaien om "het is zeldzaam, so we don't care".
Je kan moeilijk een licentie gaan vergelijken met een serverfunctionaliteit
Dat kun je juist heel makkelijk omdat je met die licentie meer functionaliteiten krijgt specifiek op het vlak van security en data loss prevention.

Voor iemand die manusje-van-alles was in interne IT laat je zien dat je een goed begrip hebt van mogelijke aanvallen en technische oplossingen.
Maar om je systemen te beschermen moet je vervolgens verder kijken dan alleen IT en technische oplossingen want daarmee red je het niet.
Een goede iso27001 auditer zal je helpen verder te kijken, maar ook dat is te vaak een papieren tijger.
Ik kan je helaas niet vertellen wat mijn werk is of mijn werkgever. Maar ik kan je wel vertellen dat ik me o.a. bezig houdt met het beveiligen van werkomgevingen op het niveau dat er staatsgeheimen verwerkt mogen worden volgens de ADBO 2019 normen.
Dat kun je juist heel makkelijk omdat je met die licentie meer functionaliteiten krijgt specifiek op het vlak van security en data loss prevention.
Da's een verschil inderdaad. Ik ben geen directe fan van cloud-solutions (en zeker geen public) wanneer het gaat om high-sensitive data.

Ik kan je gelijk geven dat ISO27001 inderdaad een gigantische papiermolen is. Zoals je zelf aangeeft, is het niet voldoende om "enkel" maar iets op papier te hebben, je acties moeten er ook naar zijn.

Ik ben niet bekend met Nederlandse normen.
Wat ik me kan voorstellen is dat de VPN certificaat gepind is en direct samen met de netwerkverbinding up komt (hence de always-on).
Waardoor het onmogelijk wordt om per ongeluk informatie over een roque access-point heen te sturen zonder de VPN.
2FA niet afdoende als je niet met dezelfde apparatuur werkt; BYOD moet er uit worden gegooid (administratief een drama) standaard telemetrische nonsense zoveel mogelijk uitschakelen (geeft ruis), browser zo instellen dat het een pagina geeft zonder verwijzingen (worden op de achtergrond ingeladen), andere browser gebruiken dan chrome/bing omdat ze (externe) account gebruiken, zoveel mogelijk adblockers (blokkeert ook veel ruis), VPN verbinding, etc etc.

Veel (grotere) werkgevers zijn te veel bezig met pleisters plakken terwijl er zoveel tekortkomingen nog zijn die relatief makkelijk door te lichten en te toe te passen zijn. Als je een uniform systeem hebt kun je dat vrij eenvoudig implementeren.
U weet dat je als werknemer veel minder beschermt bent in de U.S. dan in Nederland?
Ja dat zegt dat ze je kunnen ontslaan, niet dat ze het zouden moeten doen. Als iemand heel goed functioneert maar in een moment van onoplettendheid eens in zo'n aanval trapt dan zou ik puur uit eigenbelang van het bedrijf zo iemand niet willen ontslaan (het is immers een waardevolle medewerker). Is het een patroon en de zoveelste keer dat blijkt dat iemand er gewoon niet echt bij is, ja dan wordt het misschien tijd ze te laten gaan (maar dat kan in Nederland ook gewoon, je moet het alleen goed onderbouwen en niet over één nacht ijs gaan).
En toch zijn er genoeg bedrijven die hun ICT medewerkers regelmatig controleren door oa een nep phishing mail te sturen. Wie reageert krijgt de kans op inderdaad een goed gesprek.
Zullen we dan ook gewoon even alle CEO's ontslaan die teveel mensen hebben aangenomen?
Ja?
Er miste denk ik nog iets in je tekst " :+ "

Want ontslag omdat je bent beet genomen... dan ben je geen goede werkgever
Als jij denkt dat iedere werkgever een goede werkgever is, dan heb je tot nu toe geluk gehad in je werkende leven.
Er zijn legio werkgevers, en dan vooral in de V.S. die écht niet tof bezig zijn.
Yo, we zijn niet in de vs of wel, daarnaast heb ik 2 goede werkgevers, van de totaal 4
Wij niet. Die medewerker en het bedrijf wel.
Jij hebt het over mijn werkende leven :+

Ik werk niet in de vs

[Reactie gewijzigd door Patrick22221 op 22 juli 2024 20:32]

ja ja ok :+
Maar ook in NL zitten vaak meer slechte werkgevers dan goeie.

Maar "slecht" is natuurlijk ook ervaringsafhankelijk. Als je niet beter weet, dan denk je dat datgene wat je ervaart "goed" is.
Daar heeft u helemaal gelijk in!
Als je heel makkelijk beet te nemen bent... dan ben je geen goede werknemer.

Beiden hebben een verantwoordelijkheid om het bedrijf tegen phishing aanvallen te beschermen.
Ik zie nergens dat het makkelijk ging.

Je doet hiermee gelijk een aanname en dat is pas een slechte werknemers instelling

[Reactie gewijzigd door Patrick22221 op 22 juli 2024 20:32]

Als je het over aannames wil hebben, wat dacht je van de aanname dat iemand hiervoor zomaar ontslagen zou worden in de VS?
Waarom? Als de fishing geavanceerd is/was, dan kan dat gebeuren.
Het is waarschijnlijk in de VS. In veel staten kan je op staande voet ontslagen worden zonder opgegeven reden. Combineer dat met dat rationaliteit soms geen onderdeel is van het beslisproces, en dan begrijp je in wat voor nare situaties een werknemer kan komen. Zeker in een cultuur waar iemand de schuld moet krijgen.

Er is ook dit om rekening mee te houden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 20:32]

Daarnaast is het gewoon de meest makkelijke manier om de problemen elders te verbloemen. Gebeurt in veel organisatie en is niet amerikaans. Personen op bepaalde plekken in organisaties, zoals managers, proberen de problemen zo veel mogelijk elders neer te leggen.

Voorbeeld:

Als de medewerker ontslagen wordt kan de manager zeggen: "Hij heeft niet goed gehandeld. Hij is fout en we hebben afscheid van hem genomen" -> zondebok is de medewerker.

Maar de vraag had beter moeten zijn. Hoe had de manager de medewerker bewust kunnen maken dat dit voorkomen had kunnen worden. En daarnaast, welke veiligheidsmaatregelen neemt een organisatie om het te voorkomen. In sommige organisatie is inloggen in een systeem zonder 2FA al niet meer mogelijk.
Het is waarschijnlijk in de VS. In veel staten kan je op staande voet ontslagen worden zonder opgegeven reden.
Dit is "at will employment" en je hebt helemaal gelijk dat je "zonder opgegeven reden" iemand mag ontslaan. Maar op het moment dat het wel te herleiden is naar een reden, zoals discriminatie of zwangerschap bijvoorbeeld dan telt het niet en is het strafbaar. Je kan dit eventuele ontslag dus zeker wel herleiden naar deze phising actie en vanuit daar moet dan bekeken worden of ontslag daarvoor niet een wet of gemaakte afspraakt breekt.
Kan... Maar wat is het nut? Het levert niets op een voorkomt niet dat het nog een keer gebeurt.

En Iemand (publiekelijk) de schuld geven kan tegenwoordig net zo makkelijk omslaan in negatieve publiciteit.
Kan... Maar wat is het nut? Het levert niets op een voorkomt niet dat het nog een keer gebeurt.
CYA. "Als de schuld bij een ander is, dan kan het niet aan mij liggen."
Ik vraag me af of het een reden kan zijn om iemand te ontslaan (in europa dan, in USA maakt dat wat minder uit). Als het echt zo geloofwaardig was (wat ze zelf lijken aan te geven) en degene een van de eerste was bijvoorbeeld.

Ik ben er vrij alert op maar ik durf ook niet te garanderen dat ik er nooit in zal trappen. Een en ander heeft ook te maken met je gemoedstoestand op zo'n moment en hoe betrouwbaar zo'n bericht overkomt. Als het vrijwel exact hetzelfde bericht is wat je meerdere keren per dag krijgt, tja.
Ik ben er zelf van overtuigd dat ik niet gemakkelijk te phishen ben, maar interne tools nabootsen is toch wel echt next-level waar zelfs de meest alerte personen in kunnen trappen.
Met al die bedrijven die dezelfde cloud diensten gebruiken is het super simpel om popups en emails van "interne" tools na te bootsen.

Je hoeft die dan niet eens aan te passen aan de huisstijl van het bedrijf wat je doelwit is, want die kun je niet toevoegen in die cloud diensten.
De meest alerte personen trappen daar niet in. Maar minder alerte personen wel massaal.

Overigens blijven phishing emails waarbij je iets gratis kunt krijgen ook nog steeds extreem effectief.

[Reactie gewijzigd door mjtdevries op 22 juli 2024 20:32]

Als je hiervoor je medewerker ontslaat dan zou ik niet eens voor die werkgever willen werken. Die medewerker voelt zich waarschijnlijk al slecht genoeg en zal in het vervolg beter opletten of aan de bel trekken als er iets verdachts is.
Het wordt allemaal steeds lastiger om echt van nep te onderscheiden.
Met als doel signaalfunctie naar de buitenwereld? Persoonlijk zou ik er voor kiezen om dit momentum te benutten door alle medewerkers attent te maken op mogelijke gevaren en hun eigen rol daar in. De medewerker in kwestie zal voortaan twee of drie keer opletten voordat hij/zij ergens inlogt.
Wow, die zal een 'goed gesprek' krijgen, als het niet exit stage right wordt.
Als iemand zich netjes aan policies heeft gehouden, dan zie ik niet waarom dit grond voor ontslag zou zijn? Moedwillige sabotage? Tuurlijk, prima, maar een fout kan gebeuren. Dat is waarom security bestaat uit laagjes. Mocht de gebruiker een fout maken, dan ga je fouten proberen te voorkomen op andere niveau's. "Exit stage right" is in deze context dan ook absolute onzin.
Nee. Hier gaat een gezond gesprek plaats vinden tussen de gebruikers en security om te kijken hoe dit door de maatregelen als 2FA heeft kunnen komen. En op basis daarvan kun je door itereren naar een nog veiligere omgeving.
Neem de standaard sms-code, token of authenticator, een phisingsite zet simpel de inloggegevens door naar de 'echte' website, hoe wil je met 2FA dat voorkomen?
Andere vormen van 2FA gebruiken, die wel bestand zijn tegen phishing. Bijvoorbeeld FIDO2.
Het is meestal ook een gevolg van beperkte securitymaatregelen. Interne systemen hebben vaak geen 2FA bijvoorbeeld.
Dit lijkt mij niet de meest handige manier.

Een aanvaller heeft tijd nodig om zich door de systemen heen te werken als hij de login heeft bemachtigt, het is niet zo dat je binnen 1 seconde al je data kwijt ben.

Persoonlijk zou ik als werkgever aanmoedigen dat mijn personeel het zo snel mogelijk meldt als ze op een link hebben geklikt die achteraf toch niet helemaal zuiver is. Op die manier kan je sneller ingrijpen. Het melden gebeurt natuurlijk alleen maar als het personeel weet dat ze er niet meteen uitvliegen na een fout.

Oftewel, met zulke snelle ontslagen krijg je een cultuur van fouten verzwijgen met alleen maar meer schade tot gevolg
Je moet een goede en gerichte phishingpoging niet onderschatten. Dat is in feite social engineering; ging een stuk verder dan een random phishingmail van een bank hè. Meestal mislukt zo'n poging omdat het verhaal onlogisch is. Maar als jij geen reden hebt om aan te nemen dat het niet klopt -zeker indien gericht op het "intranet"- dan gaan de meeste mensen gewoon nat.
Ze zouden ook eens kunnen kijken naar hun eigen beveiliging. Een simpel, maar doeltreffend trucje is om bij alle mails die van buiten komen [EXTERNAL] als prefix mee te geven in de subject. Op die manier is het vrij simpel om phishing mails die zichzelf als intern bericht voordoen te onderscheiden van echte.

In onze outlook omgeving zit een functie ingebouwd waarmee je mails met een enkele click kunt markeren als verdacht waarna een aparte afdeling de mail controleert en feedback geeft of het te vertrouwen is of niet.
Dit soort dingen gebeuren gewoon. Als ontwikkelaar moet je je systeem hiertegen beschermen via bijv. 2FA
De reden dat ze er snel bij waren, was omdat de persoon in kwestie het zelf snel rapporteerde. Niets dan lof voor diegene, het kan iedereen gebeuren. Zeker als het zo gericht is.
Hopelijk niet, dat zorgt voor een regime waar niemand het nog durft melden. Het is een kwestie van educatie naar de werknemers toe, en zelfs dan, het kan de beste voorkomen. Hoe sneller men het meld, hoe kleiner de impact.
Een goed gesprek? Reddit is zo corrupt als het maar kan en het is niet voor niets dat mensen zoals Ghislaine Maxwell een functie hadden op de propaganda website reddit.
Je wilt niet weten hoe vaak dit wekelijks voorkomt. En pas aan het licht komt wanneer er gekke dingen gebeuren.
Er zijn geraffineerde pfishing aanvallen die een Chrome browser scherm zonder balk kunnen openen. De website die daar weergegeven wordt kan vrijwel alles faken, inclusief de url met het het TLS slot. Als dat een fake inlogpagina van Reddit is dan ga je. Daar kan die medewerker weinig aan doen.
Wow, je zou verwachten dat al die accounts tegenwoordig wel met 2FA beschermd zijn. Ik vind dat dit tegenwoordig echt wel de standaard mag zijn.

Aan mensen die de schuld bij de medewerker neerleggen: Dit is iets wat de beste kan overkomen.
Om een voorbeeld te schetsen. Soms komen zaken ongelukkig bij elkaar. Druk, van meeting naar meeting, en dan is er ineens een "interne" mail die iets van je vraagt, die je in alle vluchtigheid even tussendoor doet.

Wat je vervolgens ook nog ziet is dat mensen die ge-phished zijn het wel degelijk doorhebben, maar het niet durven melden omdat ze zich schamen.
Belangrijk is dat er een cultuur ontstaat waarin mensen dit gewoon zonder shaming en blaming durven te melden. Dat komt de beveiliging uiteindelijk ten goede.
Je kan ook een fake login maken mét 2FA en die live doorgooien hoor...
Klopt ja. De enige solide oplossing lijkt het gebruik van FIDO tokens.
2FA kan je ook voorbij geraken hoor als de user "meewerkt".
Tot op zekere hoogte. Dit wordt extreem lastig tot zelfs onmogelijk met Fido2 tokens.
Hoe dan ook is 2FA een must geworden.
Idd je kan het moeilijker maken
ik vind het geroep van 2FA of MFA zo overroepen waarbij iedereen maar aanneemt dat dit een oplossing is voor alles & iedereen en dat is het simpel weg niet.

Is het EEN verbetering? Zeker en vast, covered het alles? Lang niet. Stel je configureerd MFA met de Microsoft authenticator. Diezelfde mensen dat op dat soort mails klikken dat zijn dezelfde mensen die op de authenticator ook gewoon ja klikken al zijn ze zelf nergens actief aan het aanmelden.
Diezelfde mensen die snel van meeting naar meeting gaan en op een mail klikken, klikken even snel op hun authenticator.

Microsoft wilt het door je strot duwen en ik snap de essentie wel maar we moeten ons als IT'ers er enorm bewust van zijn van WAT EXACT willen we hiermee bereiken en WAT EXACT willen ons van beschermen hierbij?
Imo zoveel mogelijk basis limitaties opleggen over waar mensen hun credentials uberhaupt kunnen gebruiken zijn belangrijker dan MFA.

Daarnaast heb je inderdaad gelijk, zwijgen over zulke zaken is nog veel erger dan het feit dat het gebeurd is. Hierdoor duurt het vele malen langer voor dat wij weten dat er wat aan de hand is en aan de slag kunnen.
Zie reactie hierboven. Dat werkt nu niet meer omdat je een nummer moet aankliken dat op het scherm staat. Je kunt als hacker natuurlijk een scherm bouwen dat hetzelfde nummer laat zien als het officiele scherm, maar voor de situaties waar de hacker in een systeem wil komen zonder dat jij dat weet is dat niet mogelijk
als men enkel op "ok" moet klikken werkt dit niet.
Want ze loggen in, op de verkeerde site, achterliggend zal de hacker snel inloggen op de juiste site, en voila, ze krijgen de vraag of het legitiem is.
En dan zeggen ze 'ja', krijgen een foute pagina, en stoppen er mee....
Hier al genoeg meegemaakt. Er zijn oplossingen voor: een cijfer weergeven bijvoorbeeld, locatie kan ook, maar daar kijkt de eindgebruiker niet naar.
Voor mijn eigen outlook accounts krijg ik in MS Authenticator 3 nummers te zien waarvan er 1 overeen komt met het nummer op het scherm.
Op mijn werk krijgen we een nummer te zien en moeten we het nummer zelf intypen en OK drukken.

In het verleden kreeg je authenticator spamming waarbij hackers nieuwe verzoeken bleven doen totdat je er zat van werd en op Ja drukte. Ik denk als je bij mijn bedrijf of "Nee, dat ben ik niet" drukt, je meteen je eigen account blokkeert en SD moet bellen om te re-activeren.
ook niet ideaal. Want als je dat 1 keer hebt meegemaakt druk je daarna nooit meer op nee, dat ben ik niet.
Als er geen MFA enforced wordt voor dit soort toegangen dan is de enige schuldige Reddit zelf.
MFA is ook vrij simpel te kapen als je de inlogpagina al gefaked hebt, MFA werkt alleen als een ander probeert in te loggen met jouw gegevens, maar als jij denkt in te loggen, dan geef je mfa ook gewoon mee.

Je kan dan denken, maar als ik MFA geef en de inlog mislukt, dan moeten ze iets door hebben, maar de meeste proberen de MFA nog een keer en dan werkt het wel, want de hacker is de eerste keer ingelogd, en de gebruiker logt de tweede keer in, waardoor alles normaal lijkt.
Dat hangt af van je MFA-methode.

Webauthn is technisch zo gemaakt dat het alleen een MFA-token kan geven als de URL van de website gecontroleerd is. Phishing is met Webauthn keys dan ook onmogelijk, zelfs met een perfect gefakete loginpagina en een onoplettende gebruiker.
De gefakte website, kan een server er achter hebben welke de echte website benaderd en alle ingevoerde gegevens van de gefakte website doorzet naar de echt, via bijvoorbeeld een headless chrome browser.
Wat je creëert op deze manier is een soort van human puppet die voor jouw het inloggen afwerkt alleen de gebruiker doet dit op de nep site, terwijl software op de echte website de acties uitvoert.
Dat is niet hoe WebAuthn werkt en geldt alleen voor MFA methoden als TOTP ;) Met WebAuthn ga je dat dus niet voor elkaar krijgen.
Dat is met Webauthn onmogelijk. Je lokale browser geeft namelijk het domein van de website mee aan de MFA-key. Een fake website heeft een ander domein, dus krijgt de MFA-key een ongeldig domein, waardoor het wiskundig niet in staat is om een geldige token te genereren.
Ik ben ook fan van Webauthn, maar ik heb het volgens mij nergens in het wild gezien.

Ik heb het wel toegevoegd op enkele gevoelige paginas binnen onze eigen (admin/interne) applicaties, als test.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 20:32]

net eens getest, en het werkt wel. Maar niet met push notificatie. Scannen van een QR code is nogal onhandig... Kan aan mijn smartphone liggen natuurlijk. Maar zo krijgen we het niet verkocht :-)
Je kan ook iets anders dan die QR code gebruiken, zoals een Auth Key (YubiKey), je finger-print reader, FaceID, of Windows Hello. Als het goed is vraagt je PC erom.

Die code scannen met je telefoon is de minst snelle manier (maar wel breed inzetbaar omdat het niet gekoppeld is aan de PC waar je op inlogt).

FaceID en TouchID werkt op al je Apple-apparaten. Je YubiKey kan je ook meenemen en gebruiken op meerdere machines. Zo'n YubiKey moet je aanraken terwijl je inlogt.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 20:32]

Windows Hello staat vermoedelijk uit op onze pc"s op het werk. Spijtig...
Prima natuurlijk, genoeg andere methodes
- Github
- Gitlab
- Bitbucket
- Facebook
- Google
- Apple
- Dropbox
- Onedrive
- Amazon AWS
- Microsoft Azure
- Fastmail
- Protonmail
- Cloudflare
- NordVPN

Je zal vast wel ten minste één hiervan gebruiken ;)
Ik ben er een paar langs gegaan en je hebt helemaal gelijk! Overal meteen alles geupdate, oude authenticator apps eruit gegooid, en 2 yubikeys toegevoegd + iCloud's implementatie

[Reactie gewijzigd door Gamebuster op 22 juli 2024 20:32]

Er zijn verschillende methodes voor MFA. En vaak zie je, om de gebruiker het wat makkelijker te maken, de meest gebruiksvriendelijke geïmplementeerd worden. Zoals een popup vanuit de authenticator met 'accept' of 'deny'.
Je zult je verbazen hoeveel mensen er ondanks ze niet inloggen blind op de 'accept' optie kiezen. Ondanks uitgebreide trainingen rondom MFA.

Phishers zijn erg professioneel geworden wbt het misleiden van medewerkers. Ze weten heel goed wie ze moeten benaderen uit de organisatie en passen daar hun methode en verhaal op aan.
Daarom interne communicatie nooit via email laten verlopen.
Wij krijgen ook veel mail, van zogenaamd de baas aan medewerker x (namen en functies vinden ze via LinkedIn bv, of de about us page op je website), of je even snel contact wilt opnemen, want hij zit in een meeting. Even getest (het mail adres klopt niet, maar de naam wel, en dan krijg je dus de vraag of je snel xxx euro wilt overmaken aan die en die, want snel snel. Of even zijn wachtwoord wilt mailen, want nieuwe pc/iPhone whatever.
Inderdaad. En het wordt zelfs nog gevaarlijker als het mail account van de baas gecompromitteerd is, mogelijk door een eerdere pishing aanval. Dan komt er plots een phising mail van het échte mailadres van de baas.
Als reddit eigen code gebruikt voor hun servers en die code is niet open source, dan is het best bijzonder dat het scherm en de emails leken op de werkelijke systemen.

Zeg maar handelen met voorkennis opgedaan bij het bedrijf zelf of via een andere hack/email lek.

TIP
Je ziet dus hoe belangrijk het kan zijn om niet aan elke persoon die belt te vertellen welke software jouw bedrijf gebruikt.

[Reactie gewijzigd door djwice op 22 juli 2024 20:32]

Is dat echt bijzonder? Reddit heeft een stuk op 700 werknemers. Gezien het niveau van de phishingcampagne lijkt het me zeer aannemelijk dat er een (ex-)werknemer bij betrokken was.
😬 ik vraag me dan af hoe lang ze al op de interne systemen zaten. Niet teveel lawaai maken binnen de systemen. Poeh

[Reactie gewijzigd door Zaratrass op 22 juli 2024 20:32]

Afgaande op dit artikel klinkt het meer alsof de phishing campagne zelf al alarmbellen deed rinkelen maar dat ze niet snel genoeg gehandeld hebben om te voorkomen dat er toch iemand in trapte. Het lijkt dus niet zo te zijn dat de indringer tegen de lamp gelopen is door acties in het systeem.
Een site maken die het gedrag van een intranet site na doet. Dan moet er iemand zijn met kennis van interne websites en zo. Daar valt vast nog heel veel aan te onderzoeken.
Heb het wel eens aan de IT afdeling gevraagd, maar blijkbaar is het moeilijk/duur om alle links in een mail te blokkeren/weg te gooien.

Ik gebruik mijn password manager om alle valide links op te slaan. Naar de intranet pagina van mijn bedrijf gaan gaat daarom altijd via die manager.
Als je als bedrijf een versie maakt met alle legitieme links al ingevuld (en de wachtwoordlengte op minimaal 40 zet) dan kun je volgens mij aardig sturen dat men zo'n manager gebruikt.

Risico zal nooit nul worden, maar verkleinen lijkt me best goed mogelijk
Ben benieuwd of we ook bij deze hack weer zien dat er tóch wel gevoelige zaken zoals wachtwoorden zijn verkregen ..

[Reactie gewijzigd door FGar op 22 juli 2024 20:32]

Op dit item kan niet meer gereageerd worden.