Token diefstal: de geavanceerde aanvalstechniek die zelfs MFA kan omzeilen
De laatste maanden is er een toename te zien van cyber aanvallen waarbij de zogenaamde token diefstallen-aanvalstechniek wordt gebruikt. Klanten die hun Microsoft 365 omgeving op de juiste manier beveiligd hebben met multi-factor authenticatie en voorwaardelijke toegang, kunnen toch slachtoffer worden van een cyberaanval. Wat is token diefstal voor aanvalstechniek? En nog belangrijker wat kun je er tegen doen?
Wat is token diefstal?
Token diefstal is een aanvalstechniek die cybercriminelen gebruiken om authenticatietokens te stelen. Een authenticatie token is een digitale sleutel die wordt gegenereerd bij het inloggen zodat je als eindgebruiker op een veilige manier toegang kan krijgen zonder dat je opnieuw hoeft in te loggen. Deze tokens kun je zien als een digitale paspoort zodat je kan inloggen op apps, databronnen en andere digitale services. Dit token verloopt na een aantal uur, daarna dien je opnieuw in te loggen.
Deze tokens zijn ook heel interessant voor cybercriminelen. Krijgen ze zo’n token in bezit dan kunnen zij tot dezelfde apps en databronnen toegang krijgen vanaf hun eigen computer.
Hoe ontstaat token diefstal?
Token diefstal kan op meerdere manieren gebeuren, meest voorkomend zijn:
Phishing aanval
Veel phishing berichten zijn er tegenwoordig op gericht om een token te kunnen bemachtigen. Vaak zijn het berichten van bekende organisaties zoals banken, Microsoft of soms zelfs vanuit een bekende leverancier die verwijst naar een bestand. Op het moment dat je het bestand wil openen krijg je een Microsoft 365 login pagina te zien. Log je hier in, dan zijn kwaadwillende instaat om jouw token te bemachtigen die ze toegang geeft tot jouw Microsoft 365 account.
Man-in-the-middle aanval
Cybercriminelen stelen vaak tokens via man-in-the-middle-aanvallen. Hierbij onderscheppen ze communicatie tussen gebruiker en server om tokens te verkrijgen. De aanvaller plaatst zich tussen beide partijen en kan zo data afluisteren en manipuleren. Hierdoor kunnen tokens worden gestolen. Deze aanvallen zijn moeilijk te detecteren, ook voor eindgebruikers, wat het belangrijk maakt voor bedrijven om sterke encryptie- en beveiligingsmaatregelen te gebruiken. Organisaties moeten alert blijven en hun systemen beschermen tegen deze bedreigingen.
Malware
Malware is schadelijke software die is ontworpen om apparaten te infiltreren en tokens te stelen zonder dat de gebruiker hiervan op de hoogte is. Deze verraderlijke software kan authenticatietokens die op een apparaat zijn opgeslagen, vastleggen, waardoor cybercriminelen ongeautoriseerde toegang krijgen tot gevoelige informatie en systemen. Zodra een apparaat is geïnfecteerd met malware, wordt het kwetsbaar voor token diefstal, waardoor persoonlijke en bedrijfsgegevens gevaar lopen.
Impact van token diefstal
Beveilig je organisatie tegen token diefstal
De groei van token diefstal aanvallen is een zorgelijke ontwikkeling die ook impact heeft op bedrijven die hun basis cybersecurity hygiëne op de juiste manier geregeld hebben. Welke maatregelen dien je naast MFA te implementeren om je IT-omgeving verder te beveiligen?
Verbeter je Conditional Access beleid
Vereis dat het apparaat wordt aangemerkt als compliant
Tegenwoordig wordt MFA in Microsoft 365 standaard afgedwongen. Met behulp van Conditional Access kun je het MFA beleid verbeteren. Je kunt het eenvoudiger maken voor de eindgebruiker, maar tegelijkertijd beter beveiligen voor jouw organisatie. Een goed voorbeeld daarvan is het verbieden van logins vanaf apparaten die geen eigendom zijn van jouw organisatie.
Vertrouwde locaties in
Door het configureren van vertrouwde locaties kun je er ook voor kiezen om logins enkel vanaf bepaalde IP-adressen toe te staan. Dit versterkt uiteraard de beveiliging van je omgeving maar, gaat ten koste van de mogelijkheid om locatie onafhankelijk te kunnen werken voor jouw locaties. Wij adviseren daarom de eerder genoemde implementatie waarbij alleen logins vanaf compliant apparaten worden goedgekeurd.
Levensduur van cookies beperken
Met behulp van Session Controls in je conditional access beleid beperk je de levensduur van de session tokens waardoor de kans op misbruik kleiner wordt. Bovenstaande verbeteringen in je conditional access beleid kun je inregelen met Microsoft 365 Business Premium zonder dat aanvullende licenties nodig zijn.
Maak gebruik van MDR
Onze MDR (Managed Detection & Response) dienstverlening. Monitort 24/7 jouw IT en Microsoft 365 omgeving op ongewoon gedrag. Een succesvolle login vanaf een onbekend land of apparaat. Of een verdachte handeling op een endpoint. Onze MDR dienstverlening kun je vergelijken met een meldkamer. De meldkamer ontvangt 24/7 signalen van de reeds aanwezige beveiligingsoplossingen.
Conclusie
Token diefstal vormt een aanzienlijke bedreiging voor organisaties, maar met de juiste strategieën en hulpmiddelen, zoals Microsoft Conditional Access, Entra ID Identity Protection, en 24/7 monitoring, is het mogelijk om de risico’s te beperken. De cybersecurity wereld blijft in beweging, het zal daarom cruciaal zijn om met in je security aanpak continu rekening te houden met deze bewegingen en aanvalstechnieken voor te blijven om de integriteit en vertrouwelijkheid van gevoelige informatie te waarborgen. Het is belangrijk dat organisaties ervoor zorgen dat ze werken met de meest actuele informatie en praktijken om hun digitale informatie zo goed mogelijk te beschermen. Microsoft heeft een playbook ontwikkeld met meer informatie en adviezen over de preventie van token diefstal.
