Multifactorauthenticatie (MFA) kan mogelijk een vals gevoel van veiligheid geven. Criminelen maken steeds meer gebruik van lookalike-domeinen om MFA-data te vergaren en zo toch netwerken binnen te dringen. Dat komt naar voren uit een onderzoeksrapport van securitybedrijf Infoblox.
In cybercriminaliteit worden steeds vaker phishingcampagnes met lookalikes opgezet om gericht MFA-data te vergaren. Medewerkers worden via bekende kanalen benaderd om in te loggen op hun bedrijfsnetwerk. Daarbij maken de aanvallers gebruik van zogenaamde ‘adversary-in-the-middle’-methodes om medewerkers van een organisatie te overtuigen dat de website legitiem is. Vaak beschikken ze al over e-maillijsten en andere gegevens, die ze kunnen gebruiken om vertrouwd ogende communicatie te sturen.
De links in bijvoorbeeld phishing-mails of sms-communicatie leiden de gebruikers naar een speciaal opgezet lookalike-domein, dat eruitziet als de vertrouwde login-omgeving.De login-omgeving vraagt vervolgens om MFA-data. Zodra de gebruiker deze invoert, hebben de criminelen beet en kunnen ze inloggen in het bedrijfsnetwerk.
Lookalike domeinen
Lookalike-domeinen maken gebruik van URL’s die afwijkende tekens bevatten om bezoekers te misleiden. Bijvoorbeeld een hoofdletter ‘i’ in plaats van een ‘l’ of tekens uit andere alfabetten, die precies lijken op tekens uit ons eigen alfabet. Zelfs de meest oplettende medewerkers kunnen worden misleid door een goed opgezette lookalike, zeker wanneer ze ook gericht worden benaderd via andere kanalen om hen tot actie over te halen. Bovendien maken lookalikes gebruik van verschillende DNS-functies om mensen te misleiden, waaronder nameservers, mail servers en CNAME-records.
