Cybercriminelen stelen cookies om MFA te omzeilen
9 september 2022
Koekjesdieven actief!
Wat? Ja, met koekjes bedoelen we de beruchte “cookies”, waar we sinds het begin van het internet mee te maken hebben. Maar het overgrote deel van de internetgebruikers weet nog steeds niet helemaal wat deze cookies precies inhouden. En dat is zeker niet raar, want er speelt veel controversie en onduidelijkheid rondom cookies.
Authentiseren en het verband met cookies
Wil je meer weten over cookies in het algemeen en het juridisch kader? Lees dan ons Cuccibook over cookies. In dit artikel gaan we het hebben over authentiseren en het verband met cookies. En met authentiseren bedoelen we “ergens inloggen als gebruiker”. Als jij als gebruiker ergens inlogt met multifactorauthenticatie (MFA), ontstaat er een session cookie. In deze session cookie staat, even heel kort gezegd, een willekeurig gegenereerde set van karakters die zorgt voor een directe lijn naar de website waar is ingelogd. Deze session cookie is vervolgens ook te stelen door bijvoorbeeld een Man In The Middle Attack.
Man In The Middle Attack
Even voor de context, met een Man In The Middle Attack wordt informatie onderschept zonder dat je het door hebt! Dit kan gebeuren op het moment dat er gebruik gemaakt wordt van een onbeveiligde netwerkverbinding. Door simpelweg deze onderschepte session cookie te importeren in je browser, kom je dus direct ingelogd binnen op de desbetreffende website of systeem.
Gebruik van MFA
Cybercriminelen worden steeds handiger in het omzeilen van multifactorauthenticatie door het stelen van deze session cookies. Waar veel moeite wordt gedaan om een extra beveiligingslaag toe te passen door het gebruik van MFA, kan dit dus in sommige gevallen worden omzeild. Nu zal de gemiddelde Cyber Security expert wel denken “maar deze cookies zijn toch versleuteld?” Toch is het hackercollectief Lapsus$ vrij recent gelukt om deze session cookies te stelen van grote Tech giganten zoals Nvidia, Microsoft, Okta en ook Samsung. Hoe ze dit voor elkaar hebben gekregen in niet bekend. Maar hierdoor kregen de aanvallers direct toegang tot accounts, websites en systemen die eigenlijk alleen toegankelijk moeten zijn door in te loggen met het gebruik van MFA.
Waar gaat het fout?
Als groot applicatie gebruikers zijn we allemaal wel bekend met de melding “do you trust this device?” of “vertrouwt u dit apparaat?” door dit aan te vinken blijf je ingelogd, dus dit bekent ook dat de session cookies actief blijven. Dit handigheidje is ook gelijk een pijnpunt. Maar we gebruiken tegenwoordig zoveel verschillende applicaties dat het nu eenmaal wat gebruiksvriendelijker en makkelijker is om ingelogd te blijven. Stel je voor dat je elke dag 10 keer of meer moet inloggen bij verschillende applicaties en ook nog eens met MFA. Dit kost gewoon erg veel tijd.
Moraal van het verhaal
Er zijn tal van technische oplossing om dit probleem tegen te gaan. Maar om het begrijpelijk te maken voor iedereen: verwijder je cookies regelmatig of automatisch. Dit kan vrij simpel worden ingesteld in de instellingen van je browser. Als dit is ingesteld, verwijdert de browser automatisch alle cookies bij het afsluiten. Ook geldt voor de gebruikte applicaties dat aan het einde van de dag uitgelogd moet worden. Dit zorgt ervoor dat de session cookies niet meer actief blijven. En misschien wel de belangrijkste, keep your browser up to date ;).
Hulp nodig?
Heb jij vragen over wat deze wetswijziging voor jou(w organisatie)? Neem dan contact op met onze creatieve en betrouwbare professionals via info@cuccibu.nl of +31 (0) 85 303 2984.