In dit blogartikel leggen we uit hoe jet met Identity Management cybercriminelen weerhoudt om via gebruikersaccounts de organisatie binnen te dringen.
Er zijn veel manieren waarop cybercriminelen organisaties “binnendringen”. Maar, ze hebben ook duidelijke voorkeursmethodes. Namelijk door middel van identiteitsfraude, via kwetsbaarheden in systemen en applicaties of via phishing technieken. In een miniserie van drie artikelen gaan we in op deze kwetsbaarheden. Dit blogartikel behandelt het eerste onderwerp van de serie: Identity management.
De nieuwe favoriete ingang voor cybercriminelen
Het gebruikersaccount is de nieuwe favoriete ingang voor hackers om een organisatie binnen te dringen. In 2023 steeg het gebruik van gebruikersaccounts voor initiële toegang met 71%! In 9 van de 10 succesvolle hacks wordt "Active Directory" of "Entra ID" misbruikt door cybercriminelen. Dit wil niet zeggen dat deze systemen onveilig zijn, maar veel organisaties maken helaas fouten bij het gebruik ervan.
Cybercriminelen gebruiken legitieme inloggegevens om binnen te dringen op systemen van een organisatie. Eenmaal binnen proberen ze via "privilege escalation" controle te krijgen op deze systemen, of misbruiken ze mailaccounts van de organisatie voor het plegen van zogenaamde CEO-fraude. Periodieke controle van de beveiligingsinstellingen op identity management systemen is daarom onmisbaar om je hiertegen te beschermen.
Omzeilen van MFA (Multi Factor Authenticatie)
Naast het wachtwoord gebruiken veel organisaties ondertussen een tweede factor voor authenticatie: MFA. Daarom besteden cybercriminelen tegenwoordig enorm veel tijd en energie aan het omzeilen van MFA. Hoewel MFA absoluut helpt om het criminelen lastig te maken, biedt zelfs de combinatie van een wachtwoord + MFA geen garantie op veiligheid.
Authenticatie die middels MFA verleend wordt is namelijk voor bepaalde tijd geldig, op basis van bepaalde voorwaarden. Dit wordt de gebruikerssessie genoemd.
Wanneer je eenmaal bent ingelogd wordt niet continu om authenticatie gevraagd - dat zou immers niet werkbaar zijn. Criminelen proberen hier misbruik van te maken door de gebruikerssessie te “stelen” en zo MFA te omzeilen. Om te voorkomen dat er op deze manier misbruik gemaakt wordt van de gebruikerssessie moeten applicaties hiertegen beveiligd worden.
Voorbeelden van zakelijke fraude
Via gebruikersaccounts zien we veel voorbeelden waarop cybercriminelen zakelijke fraude plegen.
Zo doen ze zich bijvoorbeeld voor als een bankvertegenwoordiger en vertellen ze webshopeigenaren dat hun zakelijke rekening is geblokkeerd. Daardoor lopen ze dus zogenaamd allerlei klanten mis (die hun bestelling niet kunnen afrekenen) en moeten ze stappen ondernemen om hun rekening te deblokkeren. Om hun verhaal aan te sterken linkt de impersonator bijvoorbeeld naar een gehackt LinkedIn account waarvan de eigenaar inderdaad bij de bank werkt.
Een ander voorbeeld is het gebruik van een persoonlijk mailaccount om e-mails te versturen. Dat kan bijvoorbeeld gemakkelijk bij mailaccounts die standaard bij een internetabonnement inzitten. Daarvan zijn de wachtwoorden vaak niet zo sterk. Bovendien maken veel mensen niet actief gebruik van zo’n mailaccount, dus als deze gegevens gehackt worden, dan zijn de eigenaren zich er niet van bewust dat dat ook om hun accountgegevens gaat.
Ook met de identiteit van leidinggevenden zoals CEO’s wordt veel gefraudeerd. Cybercriminelen gebruiken dit om gevoelige en/of waardevolle informatie op te vragen van medewerkers, of om een “openstaande” factuur te laten betalen. Hierbij verzamelen ze zoveel mogelijk informatie van de lopende bedrijfszaken zodat ze een plausibel verhaal kunnen vertellen: Als een bedrijf bijvoorbeeld net een grote inkoop heeft gedaan bij een leverancier en de “leidinggevende” aangeeft dat deze factuur nog open staat, dan is het geen gekke vraag om deze betaling alsnog te verrichten. Bovendien kan AI tegenwoordig zelfs stemmen namaken (zelfs met een beperkte hoeveelheid openbare audiomateriaal van deze stem), waardoor iemand aan de telefoon ook écht klinkt als een ander persoon.
Gedegen Identity Management
Door de enorme toename van identiteitsfraude zijn gebruikersaccounts dus een groot risico geworden. Er is dan ook een groot belang bij het implementeren van degelijk identiteitsmanagement binnen de organisatie.
Zo kun je bijvoorbeeld protocollen opstellen voor belangrijke transacties in een Identity Management systeem, zoals wijzigingen van wachtwoorden of aanpassingen in gebruikersrechten. Je kunt het uitdelen van administratieve rechten beperken tot bepaalde tijdsloten, of zorgen dat er een soort alarm afgaat zodra er zulke rechten worden uitgedeeld (met een prompt om deze actie te controleren).
Dus, denk na over de identiteitsrisico’s die jullie in de organisatie lopen. Ga vervolgens na of jullie bereid zijn deze te lopen, of dat er aanvullende maatregelen nodig zijn om deze te weren. Wil je graag eens sparren over het Identity Management binnen jullie organisatie, of achterhalen hoe kwetsbaar jullie zijn? Neem dan vrijblijvend contact met ons op.
Ben je benieuwd naar de volgende blogartikelen over de kwetsbaarheden omtrent Patching en E-mail, QR-codes en SMS’jes als ingang op een end-device? Volg ons dan op LinkedIn en blijf op de hoogte over nieuws, tips en handvatten voor betere cyberweerbaarheid!