Ook MFA-tokens buitgemaakt bij hack op Den Haag

Bij de hack op de gemeente Den Haag werden niet alleen gebruikersnamen en wachtwoorden, maar ook MFA-tokens buitgemaakt. Met behulp van deze buit werden er phishingmails verstuurd vanaf drie emailaccounts van de gemeente.

AitM-aanval

Het ging om een zogeheten AitM (Adversary in the Middle)-aanval, laat een woordvoerder aan iBestuur weten. Bij een AitM-aanval zit een aanvaller meteen klaar om credentials (gebruikersnaam en wachtwoord) en MFA te onderscheppen, in plaats van credentials te sparen om later te gebruiken.

MFA-tokens zijn middelen die het criminelen moeilijker moeten maken om gestolen gebruikersnamen en wachtwoorden te gebruiken. Het idee van multifactor-authenticatie (MFA) is immers dat alleen de eindgebruiker over een token beschikt, zoals een authenticator-app of een fysieke tag.

Nep-OneDrive

Bij een AitM-aanval zit een aanvaller meteen klaar om credentials (gebruikersnaam en wachtwoord) en MFA te onderscheppen, in plaats van credentials te sparen om later te gebruiken. ‘In dit geval heeft de Threat Actor de eindgebruikers naar een nep-OneDrive pagina gelokt,’ meldt de woordvoerder. ‘Op het moment dat de credentials werden ingevuld, werden deze op de achtergrond direct gebruikt om in te loggen bij Microsoft. Daarmee werd ook een MFA-challenge afgedwongen die daarmee ook onderschept werd.’

Den Haag heeft de karakteristieken van deze aanval gedeeld met de informatiebeveiligingsdienst (IBD), het CERT van de gemeenten. Ook wordt het Nationaal Cyber Security Centrum (NCSC) geïnformeerd.

Phishingmails

Op 25 september ontvingen inwoners, organisaties en gemeentemedewerkers phishingmails die afkomstig leken te zijn van de gemeente, omdat ze werden verstuurd vanuit emailadressen die eindigden op @denhaag.nl en er in sommige gevallen dossiernummers in de mails stonden. Het incident is gemeld bij de Autoriteit Persoonsgegevens.