Mamba 2FA vergroot phishingdreigingen

Phishing blijft een onverminderd groot gevaar voor organisaties. De nieuwe dreiging Mamba 2FA heeft recent meerdere organisaties tot slachtoffer gemaakt, waaronder de politie. Peter LaHousse legt uit wat deze nieuwe vorm van phishing inhoudt: “Mamba 2FA is een phishing-as-a-service platform dat zich specifiek richt op het omzeilen van tweefactorauthenticatie (2FA) bij Microsoft 365-accounts. Daarmee hebben aanvallers een nieuwe manier gevonden om niet alleen inloggegevens, maar ook 2FA-tokens te onderscheppen. Dit geeft aanvallers de mogelijkheid om toegang te krijgen tot gevoelige informatie, zelfs als 2FA is ingeschakeld.”

‍

"We hebben phishingtesten verboden. Ze zijn niet effectief en dat is wetenschappelijk aangetoond." - Peter LaHousse - Cybercrime export en oprichter ccinfo.com

‍

Phishingtesten, zinvol of zinloos?

Bescherming tegen phishing blijft dus cruciaal. Veel organisaties voeren periodieke phishingtesten uit en trainen medewerkers in het herkennen van phishing. Vooral de effectiviteit van de phishingtesten wordt steeds vaker in twijfel getrokken. De kans dat iemand toch per ongeluk klikt op een link neem je nooit volledig weg en dat maakt een organisatie kwetsbaar voor hacks. Dat vindt ook Jeroen Schipper, CISO van Gemeente Den Haag, die er het volgende over zegt: "We hebben phishingtesten verboden. Ze zijn niet effectief en dat is wetenschappelijk aangetoond." Zijn statement leidde tot discussie en weerklanken vanuit collega-CISO’s die vinden dat phishingtesten wel degelijk zinvol kunnen zijn. Onder andere voor het ontwikkelen van een algeheel alertheidsniveau en om te zorgen dat medewerkers eraan wennen verdachte situaties zoals phishing altijd te melden bij de CISO. 

‍

"We moeten beveiligingscontroles ontwerpen die intuïtief zijn en die het voor mensen gemakkelijk maken om het juiste te doen" - Jan Martijn Broekhof - Algemeen directeur van Guardian360

‍

Cybersecurity UX als oplossing: gebruikers automatisch cyberveilig laten handelen

Ook Jan Martijn Broekhof van Guardian360 zet steeds meer vraagtekens bij de effectiviteit van awareness. Hij gaat nog een stapje verder. "Het traditionele idee dat beveiligingsbewustzijn de sleutel is om bedrijven te beschermen, komt steeds meer onder druk te staan. In plaats van mensen simpelweg als ’menselijke firewalls‘ te trainen, moeten we ons realiseren dat beveiligingsproblemen niet verdwijnen door bewustzijn alleen." Jan Martijn pleit als oplossing voor Cybersecurity UX (User Experience): "We moeten beveiligingscontroles ontwerpen die intuïtief zijn en die het voor mensen gemakkelijk maken om het juiste te doen, zonder dat ze bewust moeten nadenken over hun keuzes. Een voorbeeld hiervan is het concept van ’guardrails‘ en ’paved roads‘, zoals geïntroduceerd door Jason Chan, voormalig VP Security bij Netflix. Guardrails zijn geautomatiseerde beveiligingscontroles die gebruikers helpen veilig te blijven zonder hun werk te verstoren. ‘Paved roads’ bieden de veiligste en meest efficiënte route voor gebruikers, waardoor ze minder geneigd zijn om af te wijken van veilige werkwijzen."

‍

"Op een inlogpagina voert de MindYourPass wachtwoordmanager enkel en alleen jouw wachtwoord in, wanneer dit de echte inlogpagina met de juiste bijbehorende URL is!" - Merijn de Jonge - CEO van MindYourPass

‍

Phishing-proof wachtwoorden: Cybersecurity UX toegepast door MindYourPass

Bij MindYourPass begrijpen we het standpunt van Jeroen Schipper en omarmen we de visie van Jan Martijn Broekhof en Jason Chan. De technologie moet zó slim zijn dat het mensen behoedt voor het maken van een fout. Ook wel bekend als Poke Yoke. En dat is precies wat MindYourPass doet. Een phishingmail verleid je om op een nagemaakte inlogpagina jouw inloggegevens in te vullen. Doe je dat? Dan gaat de hacker met jouw inloggegevens aan de haal en kan onder jouw naam inloggen op de echte site.

Merijn de Jonge, oprichter van MindYourPass, legt uit hoe het werkt: "MindYourPass kan niet voorkomen dat jij onbedoeld op een nagemaakte pagina belandt. Maar MindYourPass weerhoudt jou er wél van hier je gebruikersnaam en wachtwoord in te vullen. Op een inlogpagina voert de MindYourPass wachtwoordmanager enkel en alleen jouw wachtwoord in, wanneer dit de echte inlogpagina met de juiste bijbehorende web-URL is! Is de inlogpagina nep? Dan bevat deze pagina een afwijkende web-URL. In dat geval vult MindYourPass jouw inloggegevens niet in."

Zo ben je als gebruiker beschermd tegen phishing van jouw inloggegevens en daarmee ook tegen de nieuwste cyberdreiging Mamba 2FA!

‍

Bronnen:

https://www.ccinfo.nl/cybercrime/phishing/2089754_mamba-2fa-een-nieuwe-dreiging-voor-microsoft-365-accounts-en-hoe-je-je-kunt-beschermen 

https://datanews.knack.be/nieuws/jeroen-schipper-ciso-den-haag-zodra-iemand-een-phishingmail-ontvangt-hebben-alle-miljoenenkostende-maatregelen-gefaald/ 

https://www.linkedin.com/pulse/beveiligingsbewustzijn-zal-ons-niet-redden-tijd-voor-een-jan-martijn-jauae/?trackingId=PRrWWqVk2l0aHl9Lvx9HKw%3D%3D

‍