2FA te omzeilen dankzij Evilginx 2

Two factor authentication, ook wel aangeduid als 2FA, of multifactor-authenticatie in het Nederlands, wordt door steeds meer partijen aangeboden om gebruikersaccounts te beveiligen. Er zijn verschillende vormen van authenticatie die eventueel gecombineerd kunnen worden om een hoger of lager niveau van beveiliging op te leveren. Daarbij zijn drie vormen van bewijs bruikbaar:

    • iets wat je weet (kennis)
    • iets wat je bezit
    • iets wat je bent (persoonlijke eigenschap)


Tot een paar jaar geleden was iets wat je weet voldoende genoeg om in te loggen. Alleen een gebruikersnaam en wachtwoord was nodig om je aan te melden op een systeem. Helaas raakten gebruikersnaam en wachtwoord combinaties ook bekend bij kwaadwillenden. Door hacks van servers, maar ook doordat gebruikers niet goed omgingen met deze gegevens, door ze op te schrijven op post-its en door ze her te gebruiken op meerdere systemen. Om de betrouwbaarheid van de authenticatie te vergroten, wordt daarom door steeds meer partijen authenticatie afgedwongen door toepassing van multifactor-authenticatie. Wat je weet wordt aangevuld met iets dat je hebt en wat een kwaadwillende niet heeft. Veelgebruikte vormen van multifactor zijn een codegenerator zoals Microsoft en Google die aanbieden, de code de calculator van je bank genereert of een code die per sms aan je mobiele telefoon verstuurd wordt.

Best wel veilig dus?

Tot voor kort was multifactor-authenticatie behoorlijk veilig. Want zonder toegang tot je mobiele telefoon of bijvoorbeeld de calculator van je bank, kon een kwaadwillende niets met je gebruikersnaam en wachtwoord. Hackers zouden hackers niet zijn, als ze niet zouden proberen aan te tonen dat ook deze manier van beveiliging te omzeilen is. En dat is gelukt, security onderzoeker Kuba Gretzky heeft een manier bedacht om dit voor elkaar te krijgen en dat goed gedocumenteerd, zodat de systemen veiliger kunnen worden.

Evilginx 2

Rond de zomer van 2017 werd de eerste versie van het Evilginx framework gelanceerd. Inmiddels is versie 2 uitgebracht, dat sneller een eenvoudiger te gebruiken is. Wat het framework doet is inlogpagina’s presenteren aan een bezoeker, waardoor de bezoeker denkt dat hij de echte website bezoekt. Deze techniek wordt al langer toegepast door criminelen die aan phishing doen: in plaats van de domeinnaam te bezoeken die een gebruiker wil bezoeken, wordt hij of zij naar een malafide website geleid met een domeinnaam die sterk lijkt op de domeinnaam die je eigenlijk bedoelde. In plaats van www.linkedin.com wordt je dus naar www.limkedin.com geleid. Op die malafide website zie je de inlogpagina van Linkedin, zoals je gewend bent.

Wat er echter gebeurt als je je gebruikersnaam en wachtwoord invoert, is dat het Evilginx framework de ingevoerde gegevens onder water doorgeeft aan de website die je wilde bezoeken. omdat die website je gebruikersnaam en wachtwoord herkent zal deze vragen om een multifactor token, bijvoorbeeld verstuurd via SMS. De bezoeker ontvangt netjes een sms en zal nietsvermoedend de code op de malafide website invoeren. Die malafide website zorgt er vervolgens voor dat je netjes wordt ingelogd op de website die je bedoelde, terwijl Evilginx ook een sessie in stand houdt voor de kwaadwillende hacker. Op deze manier heeft hij dus toegang tot de gegevens waarvan je dacht dat ze beschermd werden door multifactor-authenticatie.

Wat kun je hier tegen doen?

Zoals je hebt kunnen lezen is het voor de kwaadwillende hacker essentieel dat je op een door hem of haar ontwikkelde website terecht komt. Let dus altijd heel goed op wanneer je op een link klikt! Klopt de schrijfwijze van het domein en heeft het de juiste extentie?

Mocht je twijfelen of je een keer op een malafide link geklikt hebt, zorg dan dat je je wachtwoord wijzigt. Bij verschillende webapplicaties kun je daarbij afdwingen dat alle openstaande sessies beëindigd worden, dus ook die van een kwaadwillende.

Bronnen
https://breakdev.org/evilginx-2-next-generation-of-phishing-2fa-tokens/
https://nl.wikipedia.org/wiki/Authenticatie

Geen reactie's

Sorry, het is niet mogelijk om te reageren.