Waarschuwing voor phishingaanvallen om tweefactorauthenticatie te omzeilen

Tweefactorauthenticatie (2FA) is niet langer een waterdichte beveiliging. Illustratiefoto

Nieuwe vorm van aanval

Tweefactorauthenticatie (2FA) is een standaardbeveiligingsfunctie geworden in cybersecurity. Gebruikers moeten hun identiteit verifiëren met een tweede authenticatiestap, meestal een eenmalig wachtwoord (OTP) dat wordt verzonden via sms, e-mail of een authenticatie-app. Deze extra beveiligingslaag is bedoeld om het account van een gebruiker te beschermen, zelfs als het wachtwoord wordt gestolen.

Hoewel 2FA op veel websites wordt toegepast en door organisaties wordt vereist, hebben cybersecurity-experts van Kaspersky onlangs phishingaanvallen ontdekt die cybercriminelen gebruiken om 2FA te omzeilen.

Cyberaanvallers zijn daarom overgestapt op een geavanceerdere vorm van cyberaanval, waarbij ze phishing combineren met geautomatiseerde OTP-bots om gebruikers te misleiden en ongeautoriseerde toegang tot hun accounts te verkrijgen. Oplichters misleiden gebruikers om deze OTP's te onthullen, zodat ze 2FA-beveiligingsmaatregelen kunnen omzeilen.

Cybercriminelen combineren phishing met geautomatiseerde OTP-bots om gebruikers te misleiden en ongeautoriseerde toegang tot hun accounts te verkrijgen. Illustratiefoto

Zelfs OTP-bots, een geavanceerde tool, worden door oplichters gebruikt om OTP-codes te onderscheppen via social engineering. Aanvallers proberen vaak de inloggegevens van slachtoffers te stelen via methoden zoals phishing of het uitbuiten van kwetsbaarheden in de gegevens. Vervolgens loggen ze in op het account van het slachtoffer, waardoor er OTP-codes naar diens telefoon worden verzonden.

Vervolgens belt de OTP-bot automatisch het slachtoffer, waarbij hij zich voordoet als een medewerker van een vertrouwde organisatie. Hij gebruikt een voorgeprogrammeerd conversatiescript om het slachtoffer ervan te overtuigen de OTP-code te onthullen. Ten slotte ontvangt de aanvaller de OTP-code via de bot en gebruikt deze om onrechtmatig toegang te krijgen tot het account van het slachtoffer.

Fraudeurs geven vaak de voorkeur aan spraakoproepen boven sms-berichten, omdat slachtoffers hier doorgaans sneller op reageren. Daarom simuleren OTP-bots de toon en urgentie van een menselijk gesprek om een ​​gevoel van vertrouwen en overtuiging te creëren.

Fraudeurs besturen OTP-bots via speciale online dashboards of berichtenplatforms zoals Telegram. Deze bots beschikken ook over diverse functies en abonnementen, waardoor aanvallers gemakkelijker kunnen handelen. Aanvallers kunnen de functies van de bot aanpassen om zich voor te doen als organisaties, meerdere talen te gebruiken en zelfs een mannelijke of vrouwelijke stem te kiezen. Geavanceerde opties zijn onder andere telefoonnummerspoofing, waarbij het telefoonnummer van de beller lijkt te behoren tot een legitieme organisatie om het slachtoffer op een geraffineerde manier te misleiden.

Naarmate de technologie zich verder ontwikkelt, neemt de behoefte aan accountbeveiliging toe. Illustratiefoto

Om een ​​OTP-bot te gebruiken, moet de oplichter eerst de inloggegevens van het slachtoffer stelen. Ze gebruiken vaak phishingwebsites die er precies zo uitzien als legitieme inlogpagina's voor banken, e-maildiensten of andere online accounts. Wanneer het slachtoffer zijn gebruikersnaam en wachtwoord invoert, verzamelt de oplichter deze informatie automatisch en direct (in realtime).

Tussen 1 maart en 31 mei 2024 voorkwamen de beveiligingsoplossingen van Kaspersky 653.088 bezoeken aan websites die waren gecreëerd met phishingkits die op banken waren gericht. Gegevens die van deze websites werden gestolen, worden vaak gebruikt in OTP-botaanvallen. In dezelfde periode detecteerden experts 4.721 phishingwebsites die met de kits waren gecreëerd om realtime tweefactorauthenticatie te omzeilen.

Maak geen veelgebruikte wachtwoorden.

Olga Svistunova, beveiligingsexpert bij Kaspersky, merkte op: "Social engineering-aanvallen worden beschouwd als uiterst geavanceerde fraudemethoden, vooral met de opkomst van OTP-bots die oproepen van servicemedewerkers legitiem kunnen simuleren. Om waakzaam te blijven, is het belangrijk om waakzaam te blijven en de beveiligingsmaatregelen na te leven."

Hackers hoeven alleen maar slimme voorspellingsalgoritmen te gebruiken om wachtwoorden gemakkelijk te achterhalen. Illustratiefoto

Uit een analyse van 193 miljoen wachtwoorden, uitgevoerd door Kaspersky-experts met behulp van slimme gokalgoritmen begin juni, blijkt dat dit ook wachtwoorden zijn die door informatiedieven zijn gehackt en op het darknet zijn verkocht. Hieruit blijkt dat 45% (gelijk aan 87 miljoen wachtwoorden) binnen een minuut succesvol gekraakt kan worden; slechts 23% (gelijk aan 44 miljoen) van de wachtwoordcombinaties wordt als sterk genoeg beschouwd om aanvallen te weerstaan ​​en het kraken van deze wachtwoorden zal meer dan een jaar duren. De meeste resterende wachtwoorden kunnen echter nog steeds binnen 1 uur tot 1 maand worden gekraakt.

Cybersecurity-experts hebben daarnaast ook de meestgebruikte tekencombinaties onthuld bij het instellen van wachtwoorden, zoals: Naam: "ahmed", "nguyen", "kumar", "kevin", "daniel"; populaire woorden: "forever", "love", "google", "hacker", "gamer"; standaardwachtwoorden: "password", "qwerty12345", "admin", "12345", "team".

Uit de analyse bleek dat slechts 19% van de wachtwoorden een sterke wachtwoordcombinatie bevatte, inclusief een niet-woordenboekwoord, zowel hoofdletters als kleine letters, cijfers en symbolen. Tegelijkertijd bleek uit het onderzoek ook dat 39% van die sterke wachtwoorden nog steeds binnen een uur door slimme algoritmen geraden kon worden.

Interessant genoeg hebben aanvallers geen gespecialiseerde kennis of geavanceerde apparatuur nodig om wachtwoorden te kraken. Een speciale laptopprocessor kan bijvoorbeeld in slechts 7 minuten een wachtwoordcombinatie van acht kleine letters of cijfers kraken met brute force. Een geïntegreerde grafische kaart kan hetzelfde in 17 seconden. Bovendien vervangen slimme algoritmen voor het raden van wachtwoorden vaak tekens ("e" voor "3", "1" voor "!" of "a" voor "@") en veelvoorkomende tekenreeksen ("qwerty", "12345", "asdfg").

Gebruik wachtwoorden met willekeurige tekenreeksen om het voor hackers moeilijk te maken om ze te raden. Illustratiefoto

"Onbewust kiezen mensen vaak heel simpele wachtwoorden, vaak met behulp van woordenboekwoorden uit hun moedertaal, zoals namen en cijfers... Zelfs sterke wachtwoordcombinaties wijken zelden af ​​van deze trend, waardoor ze volledig voorspelbaar zijn door algoritmen", aldus Yuliya Novikova, hoofd Digital Footprint Intelligence bij Kaspersky.

De meest betrouwbare oplossing is daarom het genereren van een volledig willekeurig wachtwoord met behulp van moderne en betrouwbare wachtwoordmanagers. Dergelijke applicaties kunnen grote hoeveelheden gegevens veilig opslaan en bieden uitgebreide en krachtige bescherming voor gebruikersgegevens.

Om de sterkte van wachtwoorden te verbeteren, kunnen gebruikers de volgende eenvoudige tips toepassen: Gebruik netwerkbeveiligingssoftware om wachtwoorden te beheren; gebruik verschillende wachtwoorden voor verschillende diensten. Op deze manier blijven de andere accounts veilig, zelfs als een van uw accounts wordt gehackt; wachtwoordzinnen helpen gebruikers accounts te herstellen wanneer ze hun wachtwoord vergeten; het is veiliger om minder gangbare woorden te gebruiken. Daarnaast kunnen ze een online service gebruiken om de sterkte van hun wachtwoorden te controleren.

Gebruik geen persoonlijke gegevens, zoals geboortedata, namen van familieleden, huisdiernamen of bijnamen, als wachtwoord. Dit zijn vaak de eerste dingen die aanvallers proberen te doen om een ​​wachtwoord te kraken.