MULTIFACTOR AUTHENTICATIE (MFA) IS NIET INGESTELD
"Ik heb geen 2FA nodig, ik verander mijn wachtwoord af en toe."
BEDRIJF
Sector: Energie
Grootte: 10-49 werknemers
Locatie: Brussel
FACTS & FIGURES
2 van de 3 bedrijven waren getroffen
Beschermingsinspanningen: Gemiddeld
Bedrijfseffect: Hoog
CONTEXT
Tijdens het security assessment van een energiebedrijf met 15 werknemers voerden we een phishing campagne uit. Het doel was tweeledig: het veiligheidsbewustzijn van de werknemers evalueren en informatie verwerven om toegang te krijgen tot de IT-infrastructuur. Er werd een phishing-e-mail verzonden. De verschillende verdedigingslinies van het bedrijf vielen om als dominostenen om. We haalden met succes referenties op en kregen zonder verdere verificatie toegang tot een beheerdersaccount.
INCIDENT OVERZICHT
We begonnen met een phishing campagne. We stimuleerden phishing-e-mails en verzonden die naar de werknemers om hun gevoeligheid voor phishingaanvallen te beoordelen. Phishing is een van de meest voorkomende cyberaanval methoden en is erg effectief omdat het gebruik maakt van de menselijke zwakheden om individuen, bedrijven en organisaties in alle sectoren aan te vallen. Een verbazingwekkende 55% klikte op de e-mail en 30% van hen voerde zelfs hun referenties in. Na het 'stelen' van de referenties probeerden we verbinding te maken met accounts wat makkelijk ging.
We hoefden ons immers niet op een andere manier aan te melden dan via de referenties, Multi Factor Authentication stond niet aan. MFA is een inlogproces in meerdere stappen dat gebruikers vraagt om zich aan te melden met hun wachtwoorden en met een aanvullende methode zoals bijvoorbeeld een code die per e-mail is ontvangen.
Na enkele pogingen konden we aanmelden met een beheerdersaccount, wat betekent dat we alle gebruikers konden beschadigen.
IMPACT
Het belangrijkste gevolg van het niet inschakelen van multifactorauthenticatie is een veel hoger risico op ongeautoriseerde toegang. Dat kan desastreuze gevolgen hebben:
Financieel verlies: bedrijven kunnen financiële verliezen lijden als gevolg van frauduleuze transacties of hoge juridische kosten moeten betalen als gevolg van ongeautoriseerde toegang.
Reputatieschade: inbreuken kunnen de reputatie van een bedrijf schaden, wat leidt tot verlies van vertrouwen bij klanten en partners.
Verstoring van de dagelijkse werking: omgaan met beveiligingsinbreuken kan de normale bedrijfsactiviteiten verstoren en extra middelen vragen.
Juridische gevolgen: bedrijven kunnen juridische sancties, boetes of rechtszaken oplopen omdat ze gevoelige gegevens niet adequaat hebben beschermd.
Verlies van klantvertrouwen: inbreuken ondermijnen het klantvertrouwen en de loyaliteit, wat leidt tot klantverlies en verminderde inkomsten.
Naleven regelgeving: schendingen van regelgeving voor gegevensbescherming kunnen leiden tot aanzienlijke boetes en schade aan de wettelijke status van je bedrijf.
BEVEILIGINGSMAATREGELEN
We raden aan om MFA op alle internettoepassingen in te stellen om het risico op gegevens inbreuken aanzienlijk te verminderen. Multi Factor Authentication is een beveiligingsmaatregel die gebruikers vraagt om hun identiteit te verifiëren aan de hand van meerdere factoren, zoals een wachtwoord, vingerafdruk of een unieke code die naar hun mobiele apparaat is gestuurd. MFA is essentieel omdat het een extra beveiligingslaag biedt tegen ongeautoriseerde toegang. Zo verminder je het risico op gecompromitteerde accounts en gegevens inbreuken aanzienlijk. Andere maatregelen die kunnen worden genomen tegen phishing zijn onder meer:
Werknemers voorlichten over het herkennen van phishing pogingen en hen erop te wijzen dat het belangrijk is om niet te klikken op verdachte links geen persoonlijke informatie te verstrekken.
Gebruik e-mail spamfilters om phishing-e-mails te detecteren en te blokkeren voordat ze de inbox van gebruikers bereiken.
Breng regelmatig beveiligingssoftware up-to-date en voer phishing-simulatieoefeningen uit om werknemers alert en voorbereid te houden.
Bronnen:
Google Workspace MFA: Google MFA-instelling
Microsoft MFA: Microsoft MFA-instelling Multifactorauthenticatie