./BLOG
HOW TO: Beschermen tegen accountdiefstal
22:56 uur @ 29-05-2019 - directe link - Tags: 2fa, Awareness, keepass, mfa, wachtwoorden
Accountdiefstal is een groot probleem. De gevolgen kunnen enorm zijn. Probeer je eens voor te stellen wat er gebeurt als iemand anders toegang krijgt tot jouw social media accounts of jouw online shopping accounts of jouw e-mail accounts of jouw DigiD-account of jouw zakelijke account bij de Belastingdienst of misschien wel jouw account voor internetbankieren?
Ja, dan zijn de rapen gaar.
Hoe kunnen accounts overgenomen worden?
Steeds vaker worden er accounts overgenomen. Veelal gebeurt dat omdat we zelf ons wachtwoord abusievelijk aan een onbetrouwbare partij verstrekken, bijvoorbeeld door accountinformatie in te vullen na het klikken op een link in een phishingmail. Maar lang niet altijd ben je zelf direct verantwoordelijk voor het uitlekken van jouw wachtwoord of wachtwoorden.
In dit blog wordt er hieronder een aantal aanvalsvectoren behandeld hoe accounts worden overgenomen en eindigt blog met tips over hoe je dit op verschillende manieren zo goed en zo praktisch mogelijk kan voorkomen.
Accountovername door phishing (A)
Phishing is één van de grootste oorzaken van het verliezen van accounts. Je lijkt een mail te ontvangen van een vertrouwde partij waar je een account hebt. Op deze pagina in kwestie wordt verzocht om in te loggen en/of om andere (persoonlijke) informatie te verstrekken. De pagina bleek niet legitiem te zijn en jouw gegeven vallen in handen van een aanvaller.
Accountovername door datalekken (B)
Wanneer er datalekken plaatsvinden, hetzij per abuis, hetzij door een hack, dan kunnen er gebruikersnamen, e-mailadressen en wachtwoorden op straat liggen. Dit gebeurt wereldwijd en zelfs bij Nederlandse bedrijven, waaronder dit jaar nog, bijvoorbeeld huurmakelaar Altijd Wonen en uitgever Elsevier.
Accountovername door malware (C)
Malware kan je op verschillende manieren oplopen. De meest gebruikte aanvalsvectoren zijn: bijlagen in mails, besmette websites, besmette advertentienetwerken en wellicht USB-sticks die verspreid worden. Er zijn veel malwarevarianten bekend die wachtwoorden kunnen stelen uit het geheugen, uit browser, uit e-mailprogramma’s, et cetera.
Accountovername door wachtwoordreset (D)
Wachtwoordresets vinden doorgaans plaats door het klikken op een wachtwoordherstellink die je per mail ontvangt, een unieke code die je per SMS ontvangt, door het beantwoorden van wachtwoordherstelvragen of door te bellen naar de helpdesk. Op het moment dat een aanvaller respectievelijk toegang heeft tot jouw mailaccount, jouw telefoon, antwoorden op jouw herstelvragen en voldoende informatie om zich als jou voor te doen bij de helpdesk, kan iemand jouw wachtwoord resetten.
Accountovername door standaard wachtwoorden (E)
Op het moment dat je een nieuw account krijgt of als jouw wachtwoord gereset wordt door een servicedesk, dan wordt er vaak een standaard wachtwoord ingesteld. Daarbij is het vaak niet ongewoon om welkom01, SeizoenJaartal, MaandJaartal, Maand01, AchternaamJaartal, BedrijfsnaamJaartal, BedrijfsnaamMaand
Als een aanvaller weet dat een organisatie zo te werk gaat, kan een aanvaller dit uitbuiten door een zogenoemde password spray attack uit te voeren. Dan probeert de aanvaller een standaard wachtwoord uit op alle bij hem/haar bekende accounts. In plaats van het proberen van verschillende wachtwoorden op een account (bruteforcing).
Accountovername door 2FA- / MFA-enrollment (F)
Het gebeurt niet vaak, maar het kan voorkomen dat het activeren en koppelen van 2FA / MFA authenticatie niet op de juiste manier is geconfigureerd. Hierdoor kan het mogelijk zijn dat een aanvaller in staat is om een account opnieuw te koppelen aan 2FA / MFA met zijn/haar eigen factoren.
Accountovername door kwetsbaarheid in doelsysteem (G)
Op het moment dat een systeem kwetsbaarheden bevat waardoor het mogelijk is om in te loggen als een andere gebruiker, dan kan daarmee ook het account worden misbruikt en in de slechtste gevallen ook worden overgenomen.
Accountovername door social engineering (H)
Social engineering is een van de meest interessante vormen van aanvallen. Waarom? Omdat social engineering er voor kan zorgen dat bijna alle eerder genomen maatregelen kunnen worden omzeild. Met deze aanval wordt een gebruiker (persoon, medewerker, servicedeskmedewerker, beheerder, enzovoorts) verleid om een bepaalde handeling uit te voeren. De aanvaller doet zich dan voor als een geautoriseerd persoon, bijvoorbeeld: als een politiemedewerker, als een servicedeskmedewerker, als een leidinggevende, als een bankmedewerker of als wie dan ook die autoriteit uitstraalt.
Beschermen tegen accountovername
Voor de verschillende manieren waarop een account overgenomen kan worden, zijn verschillende manieren om dit zo goed als mogelijk tegen te gaan. 100% tegengaan, zal nooit lukken. Maar je kan het wel zo goed mogelijk proberen te voorkomen. Hieronder staan maatregelen beschreven die vervolgens in de matrix gekoppeld worden aan de aanvalsvectoren die daarmee gemitigeerd worden.
Two factor / Multi factor authentication (2FA / MFA) (i)
Authenticatie gebeurt doorgaans door middel van een gebruikersnaam (naam, (personeels)nummer, e-mailadres) en een wachtwoord. Dat zijn twee dingen die je ‘weet’. Iets wat je ‘weet’ kan ontvreemd worden.
2FA / MFA breidt dat wat je weet uit met iets wat je hebt, met iets wat je bent of met waar je bent.
Iets wat je hebt, kan bijvoorbeeld jouw smartphone zijn. Een smartphone waarop je een eenmalig te gebruiken code kan ontvangen. Bijvoorbeeld door een One Time Password app (bij voorkeur) of via SMS. Er zijn banken die een ‘reader’ gebruiken om een code te genereren die als tweede factor gebruikt moet worden.
Als ik heb over iets wat je bent, denk dan aan vingerafdrukscan, irisscan, gezichtsherkenning, bloedvatenscan, stemanalyse en dat soort dingen. Het nadeel hiervan is echter wel dat mocht een dergelijke factor op de een of andere manier te dupliceren zijn door een aanvaller, je dit dan nooit meer kan wijzigen. Dan zou je de betreffende factor moeten uitschakelen voor het authenticatieproces.
Iets waar je bent, kan een waardevolle toevoeging zijn. Denk hierbij bijvoorbeeld aan dat je alleen maar mag inloggen, muteren, transacties uitvoeren en dergelijke als je op kantoor bent, als je in Nederland bent, als je inlogt vanaf een bepaald IP-adres, als jouw GPS-coördinaten overeenkomen met een bepaalde plek en/of regio. Houdt er wel rekening mee dat bepaalde informatie vervalst kan worden.
Controleer authenticiteit van de website (ii)
Als je een website bezoekt dan moet je er zeker van zijn dat de bezochte website legitiem is. Doorgaans kan je dit doen door te kijken of de juiste URL is ingevoerd. Bij voorkeur tik je deze zelf in. In linkjes kan je doorgaans niet eenvoudig zien of je te maken hebt met ING.nl of lNG.nl of lNG.nI of ING.nI.
Daarnaast controleer je het certificaat, deze moet altijd geldig zijn. Een slotje naast de URL betekent niet dat een website veilig is, maar dat de communicatie tussen jouw browser en de website veilig is. Zorg ervoor dat je nooit op ‘Doorgaan’ of ‘Accepteren’ klikt op het moment dat er een foutmelding gegeven wordt over het certificaat. Dan kan je te maken hebben met een vervalste website of met iemand die de communicatie wil onderscheppen.
Uniek wachtwoord per account (iii)
Gebruik per account een uniek wachtwoord. Dit zorgt ervoor dat als jouw account en bijbehorend wachtwoord gestolen is, men alleen toegang krijgt tot dat specifieke account. Unieke wachtwoorden genereren en onthouden is even wennen. In de praktijk is het lastig om dit allemaal uit je hoofd te kunnen doen. Ik raad het gebruik van KeePass Password Safe aan.
Het gebruik is even wennen. Je hebt namelijk altijd KeePass nodig om in te kunnen loggen in een account. Daarnaast moet je er voor zorgen dat het wachtwoordbestand altijd up-to-date is en als je deze op meerdere apparaten gebruikt (kan ook op een smartphone), dat deze altijd gesynchroniseerd zijn.
Zorg er daarnaast voor dat het wachtwoordbestand beveiligd is met een lang en sterk wachtwoord. Gebruik hiervoor bijvoorbeeld een zin die je eenvoudig kan onthouden. Maak daarnaast periodiek een backup van dit bestand en bewaar deze op een veilige, bij voorkeur, offline plek.
Up-to-date virusscanner / endpoint detection & response (EDR) / applicaties / OS (iv)
Zorg ervoor dat de virusscanner, de endpoint detecten & response applicaties, alle geïnstalleerde applicaties in het besturingssysteem (OS) altijd volledig up-to-date en gepatched is. Dit geldt ook voor smartphones.
Beveiligde mailomgeving met 2FA / MFA (v)
Mailomgevingen worden vaak gebruikt bij het resetten van toegang tot een account. Als de mailomgeving dan niet afdoende beveiligd is, is dat een zwakke schakel in het geheel. Beveilig toegang tot de mailomgeving dan ook met 2FA / MFA.
Wachtwoordreset-antwoorden op basis van willekeurige informatie (vi)
In sommige gevallen kan het wachtwoord van een account gereset worden door het beantwoorden van ‘herstelvragen’. Wat is de naam van jouw eerste huisdier? Wat is de meisjesnaam van jouw moeder? Hoe heet jouw vader? Waar ben je geboren?
Met de introductie van social media en de enorme drang van velen om zoveel mogelijk informatie over zichzelf te delen, is het voor een aanvaller eenvoudiger geworden om aan dit soort basale informatie te komen. Voor bij wachtwoordherstelvragen geen echte informatie in, maar bij voorkeur willekeurige tekens. Bewaar de vraag en het antwoord in de hierboven genoemde KeePass of print deze uit en bewaar deze fysiek in een kluis of afgesloten bureaula.
Uniek e-mailadres per account (vii)
Mocht je de beschikking hebben over meerder e-mailaccounts of een eigen domeinnaam, kies er dan voor om per account een uniek e-mailadres te gebruiken. Mochten de gegevens van het account dan uitlekken, dan kunnen deze gegevens niet gebruikt worden om in te loggen bij andere diensten.
Wachtwoorden periodiek wijzigen (viii)
Als je bij alle accounts een uniek wachtwoord gebruikt, zou je misschien denken dat het periodiek wijzigen van wachtwoorden niet meer nodig is. Het tegendeel is echter waar. Als er accountgegevens uitlekken en deze worden gepubliceerd, verhandeld of misbruikt, dan wil je eigenlijk dat oude accountgegevens er niet voor zorgen dat men alsnog kan inloggen.
Microsoft adviseerde onlangs om het verplicht wijzigen van wachtwoorden helemaal af te schaffen op het moment dat er aanvullende maatregelen, bijvoorbeeld 2FA / MFA, zijn ingeregeld. Mochten er geen aanvullende maatregelen getroffen zijn, dan adviseer ik om minstens één keer per jaar (en vaker als je dat prettig vindt) alle wachtwoorden te wijzingen. In KeyPass kan je een expiratiedatum invullen, daarmee kan je herinnerd worden aan het feit dat een wachtwoord weer aan de beurt is om gewijzigd te worden.
Security-awareness-training (ix)
Door mensen (medewerkers) continu bewust te maken van securityrisico’s wordt de zwakste schakel, de mens, beter in het herkennen van de gevaren die er op de loer liggen. Awarenesstrainingen kunnen ervoor zorgen dat mensen geen potentieel gevaarlijke bestanden openen, niet klikken op malafide linkjes in e-mails, geen handelingen uitvoeren op verzoek van een ‘niet-geïdentificeerde’ autoriteit (social engineering) en nog veel meer.
Matrix aanvalsvector vs mitigerende maatregel
Hieronder een matrix op basis van de genoemde aanvalsvectoren en beschreven mitigerende maatregelen. De mitigerende impact van maatregelen per aanvalsvector is afhankelijk van welke omgevingen het betreft, hoe deze omgevingen zijn ingericht, hoe deze omgevingen zijn bescherm en van andere factoren. De matrix hieronder is indicatief en niet één-op-één toepasbaar in alle situaties. In een aantal gevallen zijn de maatregelen niet direct effectief (=SOMS) voor het betreffende account, maar wel voor misbruik van andere accounts van de betreffende persoon.
| Aanvalsvector \ Mitigerende maatregel |
(A) Phishing |
(B) Datalekken |
(C) Malware |
(D) Wachtwoordreset |
(E) Standaard wachtwoorden |
(F) 2FA/MFA enrollment |
(G) Kwetsbaarheden |
(H) Social engineering |
|---|---|---|---|---|---|---|---|---|
| (i) Two factor / Multi factor authentication (2FA / MFA) |
JA |
JA |
JA | JA | SOMS | |||
| (ii) Controleer authenticiteit van de website |
JA | SOMS |
||||||
| (iii) Uniek wachtwoord per account |
SOMS |
SOMS |
JA | SOMS | SOMS |
|||
| (iv) Up-to-date virusscanner / endpoint detection & response (EDR) / applicaties / OS |
SOMS |
JA | JA |
|||||
| (v) Beveiligde mailomgeving met 2FA / MFA |
JA | |||||||
| (vi) Wachtwoordreset-antwoorden op basis van willekeurige informatie |
JA | SOMS | ||||||
| (vii) Uniek e-mailadres per account |
SOMS |
SOMS |
SOMS | SOMS | ||||
| (viii) Wachtwoorden periodiek wijzigen |
SOMS |
JA | JA | |||||
| (ix) Security-awareness-training |
JA | JA | JA |
Mocht je naar aanleiding van dit blog vragen hebben of wil je reageren? Neem dan gerust contact op of reageer op de gekoppelde Twitter-post.
Blijf alert, denk na en wees veilig. ./Barry