Michiel Kodde
12 oktober 2023
Cyber security wordt steeds belangrijker. Met de toenemende digitalisering neemt ook de dreiging van cybercrime toe. De vraag is niet meer of u ermee te maken krijgt, maar wanneer en in welke vorm. Vandaag focussen we op Multi Factor Authentication Fatigue.
MFA Fatigue, wat is het?
Fatigue? Volgens wikipedia: Fatigue is een aan uitputting grenzende vermoeidheid die niet in verhouding staat tot de voorafgaande inspanningen en die niet of nauwelijks verbetert door rust.
In cybercrime denk aan het volgende scenario:
Een aanvaller heeft je eerste factor ontfutseld. Bijvoorbeeld omdat je LastPass kluis gekraakt is. Of omdat je wachtwoord in een data breach op straat is komen te liggen. De aanvaller kan nog niet in je account komen omdat je uiteraard MFA hebt geconfigureerd. Heel goed, daar heb je het precies voor! Afhankelijk van het MFA middel dat je hebt geconfigureerd voor je dienst kun je nu door de aanvaller geconfronteerd worden met een MFA fatigue aanval.
Een MFA fatigue aanval is een social engineering aanval die een snoodaard kan gebruiken om jou een tweede factor authenticatie te laten uitvoeren zonder dat jij daadwerkelijk aan het inloggen bent op een dienst. De aanvaller heeft namelijk jouw eerste factor (username/password), en blijft je bestoken met een verzoek om een tweede factor te geven.
Haha denk je, hier trap ik toch niet in? Want ik weet natuurlijk dat ik zelf niet aan het inloggen ben! Je zult versteld staan van de hoeveelheid mensen die hier toch in trappen. En dit is waarom.
Karakteristieken
Een MFA Fatigue aanval is het meest succesvol als er een ‘out of channel’ authenticatie mogelijk is. Dat wil zeggen, dat je een tweede factor authenticatie kunt doen zonder dat je een challenge krijgt in de browser (of je toestel) waarop je ook je eerste factor hebt gegeven. De meest voorkomende vorm van misbruik (attack vector) is het ontvangen van een push notificatie op je telefoon. Meestal hoef je in deze push notificatie simpelweg op ‘OK’ of ‘Ga verder’ te drukken om de tweede factor authenticatie te doen slagen. In dit geval zullen de aanvallers het slachtoffer overladen met push notificaties om de MFA te geven. In de hoop dat het slachtoffer op den duur uit vermoeidheid (fatigue) toch maar op ‘Ok’ of ‘Ga verder’ klikt.
Maar er zijn ook gevallen bekend waar de aanvaller zich voordoet als een helpdeskmedewerker die via een berichtendienst het slachtoffer overhaalt om de SMS code die hij/zij heeft ontvangen op het mobieltje door te geven, zodat de helpdeskmedewerker zijn/haar account weer kan ‘unlocken’.
In een digitaal landschap waar steeds meer MFA authenticaties plaatsvinden ligt de MFA fatigue aanvalsmethode steeds vaker op de loer.
Meer diepgang
Zoals hierboven genoemd zijn bepaalde Multi Factor Authenticatie methoden kwetsbaar voor MFA fatigue. Gelukkig zijn er genoeg middelen waarbij je tijdens de tweede factor authenticatie iets moet geven wat je weet, of iets moet laten zien wat je hebt. Deze extra complexiteit zorgt ervoor dat de aanvaller je eerst nog moet overtuigen om die kennis aan hem door te geven. Grofweg kunnen de MFA authenticatiemiddelen in drie categorieën onderverdeeld worden:
- Een kennis gebaseerd middel. Hier moet je naast het wachtwoord van je eerste factor nog een tweede wachtwoord voor je tweede factor authenticatie onthouden. Denk hierbij aan het invullen van een pincode, een wachtwoord of een antwoord op een vraag.
- Een op eigendom gebaseerd middel. Denk aan het bewijzen dat je een mobiel toestel in je bezit hebt, een security key hebt. Of in het bezit bent van een toegangspas.
- Een biometrisch middel. Deze middelen bepalen op basis van een van je biologische eigenschappen of je bent wie jij aangeeft dat je bent. Een vingerafdrukscan, gezichtsherkenning of een irisscan zijn voorbeelden van een biometrische verificatie.
Alle drie de middelen zijn te misbruiken voor MFA fatigue, maar vooral in categorie twee is dit vaak het makkelijkste te doen, omdat de aanvaller (meestal) zelf in de browser waar de aanval plaatsvindt, geen extra verificatie hoeft te doen. Alleen het slachtoffer overtuigen om het eigendom van het middel te bewijzen blijft over. Sommige middelen combineren de verschillende categorieën, om zo tot een veiliger middel te komen. Denk hierbij aan het genereren van een one-time password op basis van een authenticator app. Hier moet je in het bezit zijn van de authenticator app die je op je mobiele toestel hebt geïnstalleerd (eigendom). Vervolgens moet je een op tijd gebaseerd beperkt geldig geheim invoeren.
Hoe kunnen we dit voorkomen?
Er zijn globaal drie manieren om een MFA fatigue aanval tegen te gaan. Deze drie zijn:
- Educatie van een potentieel slachtoffer. Een persoon die een MFA middel heeft moet zich bewust zijn van de mogelijke gevaren die op de loer liggen. De gebruiker moet bewust zijn dat een tweede factor authenticatie alleen gegeven moet worden wanneer hij/zij deze zelf geïnitieerd heeft. Maar ook de MFA authenticatie zelf zou voldoende context moeten geven over de situatie waarin de MFA gevraagd wordt. Een stukje bewustwording, maar ook helderheid in communicatie vanuit het authenticatieproces dus.
- Pas toegangsrestricties toe. Forceer bijvoorbeeld dat een MFA authenticatie alleen vanuit een bepaalde IP range gegeven mag worden. Of vanuit een bepaalde geolocatie. Of sterker nog, het moet plaatsvinden vanuit dezelfde sessie waar ook de eerste factor is gegeven (channel binding).
- Sta alleen relatief veilige MFA middelen toe voor je dienst. Dus geen eenvoudige push notificatie ‘ga verder’ middelen, maar een middel waarbij een veilige op kennis gebaseerde verificatie plaatsvindt het liefst via een ander kanaal, of een op eigendom gebaseerd middel.
Denk je zelf ten prooi te vallen aan een MFA fatigue aanval? Zorg dan in ieder geval dat je zo snel mogelijk het wachtwoord van je eerste factor reset (als dit mogelijk is). Zo kan de aanvaller niet langer bij je tweede factor authenticatie komen. Als je niet meer in je account kunt komen, neem dan zo snel mogelijk contact op met de betreffende dienst. En laat je account blokkeren.
Zorg er altijd voor dat je een zo veilig mogelijk MFA middel gebruikt in de diensten waarvoor MFA vereist is. En ten slotte: blijf waakzaam. Ga niet (net zoals het rücksichtslos klikken op ‘accept all’ bij een cookie banner) zomaar op ieder authenticatieverzoek in, maar denk even bewust na of je deze zelf geïnitieerd hebt. Kan ik het detecteren? Het is lastig om te detecteren of MFA fatigue wordt toegepast als aanvalsvector, zeker als gewone gebruiker. De beste kans is om de logs te analyseren op herhaalde MFA pogingen vanaf een bepaald adres. Of juist vanaf een wisselende of onverwachte locatie. Maar waakzaamheid blijft het devies. Een gewaarschuwd mens telt voor twee.