AiTM-token diefstal: wat is het en hoe bescherm je jouw organisatie?

Cybercriminelen worden steeds sluwer. Eén van de meest verraderlijke vormen van phishing die we bij Bruis steeds vaker voorbij zien komen, is AiTM-token diefstal. Het is een slimme en goed verborgen manier waarop aanvallers je inloggegevens én toegang tot je account weten te stelen, zelfs als je Multi-Factor Authenication (MFA) gebruikt.

Deze vorm van phishing is zo overtuigend, dat je pas laat merkt dat een cybercrimineel je gegevens heeft onderschept. Daarom is het belangrijk om te te weten hoe deze aanval werkt en waar je op moet letten. In deze blog leggen we op een begrijpelijke manier uit wat AiTM-token diefstal precies is, hoe je het herkent en wat jij en je organisatie kunnen doen om dit te voorkomen.

Wat is AiTM-token diefstal?

AiTM staat voor Adversary-in-the-Middle. Dit is een vorm van phishing waarbij een aanvaller zich onopgemerkt tussen de gebruiker en een website plaatst. De gebruiker denkt veilig in te loggen op bijvoorbeeld Microsoft 365, maar komt in werkelijkheid op een nagemaakte pagina terecht die beheerd wordt door de aanvaller. Het bijzondere (en gevaarlijke) aan deze aanvalsvorm is dat hij zó realistisch is opgebouwd, dat de gebruiker meestal niet direct iets vreemds opmerkt. Zelfs extra beveiligingslagen zoals multi-factor authenticatie (MFA) kan de cybercrimineel hiermee omzeilen. Dat maakt AiTM veel meer dan de traditioneel manier van phishing.

Hoe werkt zo’n aanval in de praktijk?

Cybercriminelen gaan bij een AiTM-aanval iedere keer op dezelfde manier te werk. De techniek erachter is een uitgebreid verhaal, maar we nemen je hieronder globaal mee in hoe zo’n aanval te werk gaat:

  1. Je ontvangt een e-mail
    De e-mail lijkt afkomstig van een collega, een bekend contact of Microsoft. In deze mail zit een link naar een inlogpagina, denk aan een link naar je Microsoft-account, intranetpagina of salarisstrookje.
  2. De link lijkt betrouwbaar
    Op het eerste oog lijkt de mail die je ontvangt niet vreemd. Je klikt op de link en komt terecht op een pagina die er ook daadwerkelijk zo uit ziet als de inlogpagina die je gewend bent. Maar in werkelijkheid is deze pagina nep.
  3. Je logt in zoals altijd
    Je voert je gebruikersnaam, wachtwoord én MFA-code in. De crimineel leest live mee en vangt je gegevens en sessietoken op.
    Wat is een sessietoken?: Na het inloggen krijg je een zogeheten token, een soort toegangspasje tot de omgeving waarop je inlogt. Daarmee hoef je niet elke keer je wachtwoord opnieuw in te voeren. Als een hacker jouw token in handen krijgt, kan hij inloggen op jouw account. En dat, zonder dat hij je wachtwoord of MFA-code nodig heeft.
  4. Je komt op de Microsoft-omgeving van je organisatie
    Na het inloggen, stuurt de aanvaller je door naar de omgeving van je organisatie. Je denkt dus dat alles normaal is verlopen, maar de hacker heeft intussen toegang tot jouw account.

Hoe herken je een AiTM-aanval?

Zoals al even aangestipt, kunnen cybercriminelen webpagina’s steeds beter namaken. Daarom is het soms lastig om te zien of je op een echte inlogpagina zit of niet. Toch zijn er een aantal signalen waaraan je een AiTM-aanval kunt herkennen, denk aan:

  • Vreemde of net-niet kloppende URL’s, zoals: login-micros0ft.com.fake.com
  • E-mails die wat raar vertaald zijn of Engelse woorden bevatten
  • Onverwachte MFA-verzoeken, zonder dat je zelf probeert in te loggen
  • Beveiligingswaarschuwingen of meldingen van je wachtwoordmanager
  • Schermen die direct na het inloggen weer verdwijnen

Wat kun je doen om AiTM-aanvallen te voorkomen?

Gelukkig zijn er steeds meer mogelijkheden om je organisatie te wapenen tegen AiTM-aanvallen. De drie belangrijkste zetten we voor je op een rij:

  1. Gebruik passkeys in plaats van wachtwoorden
    Passkeys zijn de toekomst van inloggen. Ze vervangen het traditionele wachtwoord en werken met een combinatie van een publieke en privé sleutel. Deze vorm van inloggen is niet te onderscheppen door aanvallers en zijn daardoor veiliger dan wachtwoorden. Een passkey kun je niet delen, onthouden of verkeerd gebruiken.
  2. Train je medewerkers
    De meeste AiTM-aanvallen beginnen met een phishingmail. Zorg dus dat je team weet hoe die eruitzien. Investeer in regelmatige bewustwordingssessies. Hoe eerder iemand een verdachte mail herkent, hoe beter.
  3. Gebruik een wachtwoordmanager
    Wachtwoordmanagers kunnen helpen bij het herkennen van nepwebsites. Ze vullen alleen wachtwoorden in op échte, bekende sites. Als de manager weigert iets in te vullen, kan dat een waarschuwing zijn. Ook zijn er hulpprogramma’s die een waarschuwing afgeven op het moment dat ze een AiTM-pagina detecteren.

Blijf alert op aanvallen

AiTM-token diefstal is dus een slimme en steeds vaker voorkomende manier waarop cybercriminelen toegang proberen te krijgen tot accounts, zelfs als er gebruik wordt gemaakt van MFA. Juist omdat deze aanvallen zo overtuigend zijn, is het belangrijk om alert te blijven, je medewerkers goed te informeren en te investeren in moderne beveiligingsmaatregelen.

Twijfel je of jouw zorgorganisatie of goede doel voldoende beveiligd is? Neem gerust contact met ons op. Bij Bruis adviseren we je graag!

Heb je een vraag?

Neem gerust contact met ons op. We beantwoorden je vragen graag!

hallo@bruis.it
088 008 4700

Ook interessant: