Witold Kepinski - 30 september 2024

Politiehack: Mogelijke scenario’s achter de aanval in het licht van 2FA

Zoals inmiddels iedereen weet, heeft er een hack plaatsgevonden bij de politie. Cybersecurity specialist Peter Lahousse (foto) wil in deze blog graag delen wat mogelijke scenario’s kunnen zijn geweest die tot deze hack hebben geleid 'omdat deze vraag mij de afgelopen uren veelvuldig is gesteld. Nogmaals, dit zijn de meest gangbare scenario’s die zich vaak voordoen bij cyberaanvallen, maar dat betekent niet dat deze aanval op precies dezelfde manier heeft plaatsgevonden. Deze informatie deel ik niet in mijn rol voor de politie, maar als cyberspecialist, zodat ik in één keer de veelgestelde vraag “hoe zou dit gebeurd kunnen zijn” kan beantwoorden.'

Politiehack: Mogelijke scenario’s achter de aanval in het licht van 2FA image

Belangrijk om op te merken is dat 2FA (tweefactorauthenticatie) bij alle politieaccounts vereist is. Deze 2FA is gekoppeld aan een speciale app op de diensttelefoon van medewerkers. Dit verhoogt de beveiliging aanzienlijk, omdat zelfs als een aanvaller het wachtwoord van een medewerker zou bemachtigen, hij of zij nog steeds de 2FA-code nodig zou hebben om toegang te krijgen.

Hier volgen enkele scenario’s die, ondanks de 2FA-beveiliging, mogelijk tot de hack hebben geleid:

1. Phishing-aanval gevolgd door sessiekaping of social engineering

Hoewel 2FA sterk is, kunnen geavanceerde phishing-aanvallen nog steeds een rol spelen. Een mogelijke aanvalsvector is sessiekaping of social engineering.

Hoe werkt het?

Bij een phishing-aanval ontvangt een medewerker een overtuigende e-mail die hen naar een nagemaakte inlogpagina leidt. Hoewel 2FA vereist is, kan de aanvaller, als de medewerker eenmaal is ingelogd en de 2FA-code correct heeft ingevoerd, de actieve sessie kapen. Dit kan gebeuren door middel van man-in-the-middle-aanvallen (MITM), waarbij de aanvaller het dataverkeer tussen de gebruiker en de echte inlogpagina onderschept en toegang krijgt tot de sessie zodra de gebruiker succesvol is ingelogd.

Gevolg:

De aanvaller kan de sessie overnemen en toegang krijgen tot vertrouwelijke gegevens zoals de namen van politiemedewerkers, zonder zelf de 2FA-code te hoeven invoeren. Dit is een geavanceerde aanvalstechniek, maar niet onmogelijk.

Verdediging:

Een manier om dit soort aanvallen te voorkomen is end-to-end encryptie voor alle communicatie en het gebruik van antiphishing-technologie die man-in-the-middle-aanvallen kan detecteren. Daarnaast is sessiebeheer belangrijk om verdachte activiteiten op te sporen, zoals meerdere sessies vanaf verschillende locaties.

2. Misbruik van app-registratie of OAuth-aanvallen

In cloudomgevingen zoals Microsoft 365 kan een aanvaller misbruik maken van OAuth om toegang te krijgen tot gegevens, zonder dat ze daadwerkelijk de login- en 2FA-gegevens van de gebruiker nodig hebben. Dit kan gebeuren via een malafide app die toestemming vraagt voor toegang tot bepaalde gegevens.

Hoe werkt het?

Een aanvaller registreert een malafide applicatie en stuurt een phishing-mail naar een medewerker waarin ze worden gevraagd om deze app toegang te geven tot hun account. De app kan bijvoorbeeld toegang vragen tot e-mails of bestanden. Zodra de medewerker toestemming geeft (vaak zonder te beseffen wat er precies wordt gevraagd), kan de aanvaller via de app toegang krijgen tot gevoelige gegevens zoals de namen van medewerkers.

Gevolg:

De aanvaller krijgt toegang tot gegevens zonder ooit de 2FA-code van de medewerker te hoeven bemachtigen. Dit maakt OAuth-aanvallen bijzonder gevaarlijk in omgevingen waar 2FA wordt gebruikt, omdat de aanvaller kan opereren binnen de grenzen van legitieme toestemming.

Verdediging:

Strenge controle over app-machtigingen is essentieel om dit soort aanvallen te voorkomen. Medewerkers moeten worden getraind om nooit zomaar toestemming te geven aan onbekende applicaties, en IT-beheerders moeten zorgvuldig monitoren welke apps toegang krijgen tot gegevens.

3. Inbreuk via een externe dienstverlener

Hoewel de politie strikte beveiligingsmaatregelen heeft, is het mogelijk dat de hack via een externe dienstverlener of partner heeft plaatsgevonden. Dit is een veelvoorkomend aanvalsscenario, waarbij een derde partij met toegang tot het netwerk of de gegevens van een organisatie wordt gecompromitteerd.

Hoe werkt het?

Veel organisaties werken samen met externe partijen die toegang hebben tot bepaalde systemen of gegevens. Als een van deze externe partijen niet dezelfde hoge beveiligingsnormen hanteert, kan een aanvaller via hun systemen toegang krijgen tot vertrouwelijke politiegegevens. De aanvaller zou bijvoorbeeld de inloggegevens van een medewerker van de derde partij kunnen verkrijgen, die op zijn beurt toegang heeft tot politiegegevens.

Gevolg:

De aanvaller kan toegang krijgen tot de namen van politiemedewerkers via de systemen van de externe dienstverlener, zonder dat de politie zelf direct is gehackt. Dit soort aanvallen zijn moeilijk te detecteren, omdat de toegang via legitieme kanalen plaatsvindt.

Verdediging:

Het is belangrijk dat organisaties strikte beveiligingsprotocollen afdwingen voor alle externe partijen die toegang hebben tot hun systemen. Dit omvat het regelmatig uitvoeren van beveiligingsaudits en het beperken van toegangsrechten op basis van het least privilege-principe.

4. Malware-infectie via gecompromitteerde software of bijlagen

Hoewel 2FA-inlogmethoden sterk zijn, kunnen aanvallers soms toegang krijgen tot systemen via malware. Deze malware kan onbewust worden geïnstalleerd door een medewerker via een bijlage of een kwaadaardige software-update. Hoewel de aanvaller geen directe toegang krijgt tot de inloggegevens, kan malware gegevens stelen of een achterdeur openen naar gevoelige systemen.

Hoe werkt het?

Een medewerker kan onbewust een geïnfecteerde bijlage openen of een softwareprogramma installeren dat besmet is met malware. Eenmaal geïnstalleerd, kan de malware gegevens van het systeem verzamelen, of de aanvaller kan via een backdoor toegang krijgen tot netwerken en gevoelige informatie zoals namen van politiemedewerkers stelen.

Gevolg:

De aanvaller kan via de malware toegang krijgen tot systemen en gegevens zonder dat 2FA een obstakel vormt, omdat de malware buiten de inlogprocedure om opereert. Dit type aanval is vooral gevaarlijk als het niet direct wordt opgemerkt.

Verdediging:

Gebruik van up-to-date antivirus- en antimalwaresoftware is essentieel om dit soort aanvallen te voorkomen. Daarnaast kunnen gedragsgebaseerde beveiligingsoplossingen helpen om verdachte activiteiten op systemen te detecteren en te blokkeren.

5. Insider threat (interne bedreiging)

Een interne bedreiging, zoals een medewerker die opzettelijk of onopzettelijk informatie lekt, blijft een scenario dat niet kan worden uitgesloten. Zelfs met sterke 2FA-beveiliging kan een kwaadwillende insider toegang hebben tot vertrouwelijke informatie en deze delen met derden.

Hoe werkt het?

Een medewerker met toegang tot vertrouwelijke gegevens kan deze informatie opzettelijk of per ongeluk delen. Dit kan gebeuren via e-mail, het downloaden van gegevens of het geven van toegang aan onbevoegde personen.

Gevolg:

Gevoelige informatie, zoals de namen van politiemedewerkers, kan naar buiten worden gebracht zonder dat er sprake is van een traditionele hack. Deze interne dreiging is moeilijk te detecteren en te voorkomen, omdat de medewerker legitieme toegang heeft.

Verdediging:

Het beperken van toegangsrechten en het implementeren van strikte monitoring op het netwerk kan helpen om verdachte activiteiten van insiders te detecteren. Daarnaast is het belangrijk om medewerkers te trainen in het veilig omgaan met gevoelige gegevens en de risico’s van datalekken.

Conclusie: Wat kunnen we leren?

Hoewel tweefactorauthenticatie een sterke verdediging biedt tegen veel cyberaanvallen, zijn er nog steeds verschillende geavanceerde technieken die aanvallers kunnen gebruiken om toegang te krijgen tot gevoelige informatie. Phishing, sessiekaping, het misbruiken van externe partijen en malware blijven reële dreigingen, zelfs in goed beveiligde omgevingen zoals de politie.

Naar mijn mening zijn scenario’s zoals zwakke wachtwoorden en ongepatchte software onwaarschijnlijk in dit geval, gezien de sterke beveiligingsmaatregelen en het gebruik van 2FA. De meest waarschijnlijke scenario’s blijven phishing in combinatie met sessiekaping, OAuth-aanvallen via malafide apps, of een inbreuk via een externe partij.

Met dit antwoord hoop ik direct duidelijkheid te verschaffen over de vraag “hoe zou dit gebeurd kunnen zijn”. Mocht je verdere vragen hebben over cybersecurity, voel je vrij om contact op te nemen.

Opmerking:

Voor het journaal van de NOS heb ik expert Erik Westhovens, een ervaren ethisch hacker bekend van de ethische hack op DigiD, gevraagd om zijn commentaar te geven. Erik is een expert in dit veld en kan met zijn kennis waardevolle inzichten bieden in de technische mogelijkheden van dit soort aanvallen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Door: Peter Lahousse

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW