Phishing-aanvallen komen nu ongelooflijk vaak voor. Deze methode van cybercriminaliteit kan zeer effectief zijn bij gegevensdiefstal en vereist niet veel werk op basisniveau. Maar phishing komt ook in vele vormen voor, waaronder Adversary-in-the-Middle-aanvallen. Dus, wat zijn Adversary-in-the-Middle phishing-aanvallen? En hoe kun je ze uit de weg gaan?
Wat zijn Adversary-in-the-middle-aanvallen?
Een Adversary-in-the-Middle (AiTM) phishing-aanval omvat de diefstal van sessiecookies om privégegevens te stelen en zelfs authenticatielagen te omzeilen.
Je hebt waarschijnlijk al eerder van cookies gehoord. Tegenwoordig zullen de meeste sites waarop u klikt uw toestemming vragen om cookies te gebruiken om uw online ervaring beter op u af te stemmen. Kortom, cookies volgen uw online activiteiten om inzicht te krijgen in uw gewoonten. Het zijn kleine tekstbestanden met gegevens die elke keer dat u op een nieuwe webpagina klikt naar uw server kunnen worden verzonden, waardoor bepaalde partijen uw activiteit kunnen volgen.
Er zijn veel soorten cookies. Sommige zijn nodig, andere gewoon niet. Bij AiTM-aanvallen gaat het om sessiecookies. Dit zijn cookies die tijdens een websessie tijdelijk gebruikersgegevens opslaan. Deze cookies gaan direct verloren zodra u uw browser afsluit.
Zoals altijd het geval is bij phishing, begint een AiTM-phishingaanval wanneer de cybercrimineel communiceert met het doelwit, meestal via e-mail. Deze zwendelpraktijken gebruiken ook kwaadaardige websites om gegevens te stelen.
AiTM-aanvallen zijn een bijzonder urgent probleem geweest voor Microsoft 365-gebruikers, waarbij aanvallers contact opnemen met doelen en hen vragen in te loggen op hun 365-accounts. Bij deze zwendel, die ook typisch is voor phishing-aanvallen, zal de kwaadwillende zich voordoen als een officieel Microsoft-adres.
Het doel is hier niet alleen om inloggegevens te stelen, maar ook om de multi-factor authenticatie (MFA) van het slachtoffer te omzeilen tweefactorauthenticatie (2FA) laag. Dit zijn beveiligingsfuncties die worden gebruikt om de aanmelding van een account te verifiëren door toestemming te vragen vanaf een afzonderlijk apparaat of account, zoals uw smartphone of e-mail.
De cybercrimineel zal ook een proxyserver gebruiken om met Microsoft te communiceren en de valse 365-inlogpagina te hosten. Met deze proxy kan de aanvaller de sessiecookie en de inloggegevens van het slachtoffer stelen. Wanneer het slachtoffer zijn inloggegevens invoert naar de kwaadaardige site, zal het vervolgens de sessiecookie stelen om valse authenticatie te bieden. Dit geeft de aanvaller de mogelijkheid om het 2FA- of MFA-verzoek van het slachtoffer te omzeilen, waardoor ze direct toegang krijgen tot hun account.
Hoe u zich kunt beschermen tegen AiTM-phishingaanvallen
Hoewel een AiTM-phishingaanval verschilt van een typische phishingaanval, kunt u nog steeds dezelfde methoden gebruiken om de eerste te vermijden als de laatste. Dit begint met alle links in uw e-mails.
Als u een e-mail ontvangt van een zogenaamd vertrouwde afzender waarin staat dat u de verstrekte link moet gebruiken om in te loggen op een van uw online accounts, wees dan voorzichtig. Dit is een klassieke phishing-truc en kan verontrustend gemakkelijk over het hoofd worden gezien, vooral als de aanvaller overtuigende of urgente taal gebruikt om u te overtuigen om zo snel mogelijk in te loggen op een account.
Dus als u een e-mail ontvangt met een link, zorg er dan voor dat u deze door een website voor het controleren van links voordat u klikt. Bovendien, als in de e-mail staat dat u zich moet aanmelden bij een account, zoekt u gewoon naar de inlogpagina in uw browser en opent u daar uw account. Op deze manier kunt u zien of er problemen zijn die u met uw account moet oplossen zonder op een verstrekte link te klikken.
U moet ook voorkomen dat u bijlagen opent die naar u zijn verzonden vanaf een onbekend adres, zelfs als de afzender beweert een vertrouwd persoon te zijn. Schadelijke bijlagen kunnen ook worden gebruikt bij AiTM-phishingaanvallen, dus u moet op uw hoede zijn voor wat u opent.
Kortom, als het niet echt nodig is om de bijlage te openen, laat het dan met rust.
Als u daarentegen denkt dat u de bijlage moet openen, voer dan enkele snelle controles uit voordat u dit doet. U moet het bestandstype van de bijlage bekijken om te bepalen of deze als verdacht moet worden beschouwd. Het is bijvoorbeeld bekend dat .pdf-, .doc-, zip- en .xls-bestanden worden gebruikt in schadelijke bijlagen, dus wees op uw hoede als een bepaalde bijlage een van deze bestandstypen is.
Controleer bovendien de context van de e-mail. Als de afzender beweert dat de bijlage een document bevat, zoals een bankafschrift, maar het bestand de extensie .mp3 heeft, je hebt waarschijnlijk te maken met een misleidende en potentieel gevaarlijke bijlage, aangezien een MP3-bestand niet zou worden gebruikt voor een document.
Kijk naar het afzenderadres van elke verdachte e-mail die u ontvangt. Elk e-mailadres is natuurlijk uniek, dus een aanvaller kan geen officieel bedrijfse-mailadres gebruiken om met u te communiceren, tenzij het gehackt is. In het geval van phishing gebruiken oplichters vaak e-mailadressen die enigszins lijken op het officiële adres van een organisatie.
Als u bijvoorbeeld een e-mail ontvangt van iemand die beweert Microsoft te zijn, maar u ziet dat het adres "micr0s0ft" is in plaats van "Microsoft", dan heeft u te maken met een phishing-zwendel. Criminelen voegen ook een extra letter of cijfer toe aan een e-mailadres, zodat het lijkt op het legitieme adres, maar niet identiek is.
U kunt zelfs bepalen of een link verdacht is door ernaar te kijken. Kwaadaardige sites bevatten vaak links die er ongebruikelijk uitzien. Als in een e-mail bijvoorbeeld staat dat de verstrekte link u naar een inlogpagina van Microsoft zal sturen, maar de URL vermeldt dat het een geheel andere website is, blijf dan weg. Het controleren van het domein van de website kan vooral handig zijn om phishing te voorkomen.
Ten slotte, als u een e-mail ontvangt van een zogenaamd officiële bron die bezaaid is met spel- en grammaticafouten, heeft u waarschijnlijk te maken met een oplichter. Officiële bedrijven zullen er vaak voor zorgen dat hun e-mails correct zijn geschreven, terwijl cybercriminelen soms slordig kunnen zijn met hun communicatie. Dus als een e-mail die je hebt ontvangen erg lui is geschreven, wees dan voorzichtig met hoe je verder gaat.
Wees op je hoede om AiTM-phishingaanvallen te vermijden
Phishing komt enorm veel voor en wordt gebruikt om zowel individuen als organisaties te targeten, wat betekent dat niemand echt veilig is voor deze dreiging. Dus, om AiTM-phishingaanvallen en phishing in het algemeen te vermijden, overweeg de bovenstaande tips om uw gegevens veilig te houden.
