Multi Factor Authenticatie (MFA): een beveiligingslaag die je voor al jouw zakelijke en privé accounts zou moeten instellen. MFA betekent dat als je inlogt op bijvoorbeeld jouw e-mail je naast je gebruikersnaam en wachtwoord nog een code moet invullen, of dat je een inlogpoging moet goedkeuren via een app op jouw telefoon. Door deze extra stap bij het inloggen zijn hackers niet in staat om in te loggen, ook al hebben ze jouw gebruikersnaam en wachtwoord.
Helaas hebben hackers een manier gevonden, waardoor de kans groter is dat zij toch toegang kunnen krijgen tot jouw account: “MFA Bombing”. In deze blog vertelt onze Security Specialist Richard Snel je meer over deze nieuwe cyberdreiging.
Het gebeurt helaas regelmatig dat gebruikersnamen en wachtwoorden in handen vallen van hackers. Bij MFA Bombing (of een MFA bommetje) logt een hacker op verschillende momenten in met de gestolen inloggegevens (gebruikersnaam en wachtwoord). Dit zorgt ervoor dat gebruikers op willekeurige momenten meldingen op hun telefoon krijgen dat een inlogsessie goedgekeurd moet worden. Het blijkt dat mensen wanneer zij zo’n melding krijgen (zonder dat ze weten of dit een legitieme inlogpoging is), heel vaak klikken op ‘goedkeuren’. Het gevolg is dat, ondanks dat MFA is ingesteld, hackers alsnog toegang krijgen tot allerlei vertrouwelijke informatie.
Een hacker kan jouw gegevens gebruiken om schade aan te richten aan de organisatie. Als een hacker bijvoorbeeld de inloggegevens heeft van jouw e-mail kan diegene daar misbruik van maken. Vanuit jouw mailbox kan de hacker bijvoorbeeld phishing e-mails versturen naar andere collega’s, maar ook naar externe partijen zoals leveranciers of klanten.
We adviseren om jouw medewerkers te blijven informeren over deze vorm van hacken. Het belangrijkste is dat je je bewust bent van deze dreiging en alert blijft! Klik alleen op ‘goedkeuren’ als je écht zeker weet dat het om een legitieme aanmelding gaat.
Weet je niet zeker of de aanmelding vanuit jou is gedaan? Kies dan altijd voor ‘weigeren’. Er is namelijk niets aan de hand als je op weigeren klikt en het toch een legitieme aanmelding blijkt te zijn. Je kunt dan gewoon opnieuw inloggen en dit keer wel op goedkeuren klikken.
Heb je toch een aanmelding goedgekeurd die niet van jou was? Neem dan direct contact op met de interne ICT-afdeling of met jouw ICT-partner Tredion!
Je kunt je organisatie technisch gezien nog zo goed beveiligen tegen cyberaanvallen, het heeft pas zin als jouw medewerkers meedoen. Want bij het binnenkomen in jouw systemen hebben medewerkers een sleutelrol. Benieuwd wat jij kunt doen om jouw medewerkers te trainen? Download dan onze whitepaper ‘Verlaag cyberrisico’s op de werkvloer met security awareness’ of neem direct contact met ons op.
Download de whitepaper en ontdek hoe cybersecurity awareness jouw organisatie kan beschermen!
direct downloaden
Maak kennis met Richard Snel,
hij vertelt je er graag meer over
Security Specialist
Stuur een e-mail
