Een veel gegeven advies als het om beveiliging gaat: Gebruik Multi-Factor Authenticatie (MFA) en je bent veilig. En ja, MFA is een enorme stap vooruit ten opzichte van alleen een wachtwoord. Maar MFA is geen wondermiddel. Ook dit kun je (helaas) omzeilen.
In deze blog leg ik uit hoe hackers dat doen, en wat jij kunt doen om jezelf en je bedrijf écht beter te beschermen.
Wat is MFA ook alweer?
MFA betekent dat je twee of meer dingen moet gebruiken om in te loggen, zoals:
- iets wat je weet (bijv. een wachtwoord),
- iets wat je hebt (bijv. een telefoon of token),
- of iets wat je bent (bijv. je vingerafdruk).
Goed idee dus. Maar er zijn slimme manieren waarop aanvallers MFA alsnog weten te kraken.
12 manieren waarop MFA wordt omzeild
Hieronder een paar van de meest gebruikte trucs:
🔸 Sessiekaping
Een hacker stuurt je naar een valse website die lijkt op de echte. Jij logt in, inclusief je MFA-code. De hacker stuurt dat direct door naar de echte site en neemt jouw sessie over.
🔸 SIM-swapping
Je telefoonnummer wordt overgezet naar een toestel van de hacker. Die ontvangt nu al jouw MFA-codes via sms.
🔸 Zwakke herstelmethodes
Herstelvragen als “Wat is de naam van je hond?” zijn makkelijk te raden of terug te vinden op social media. Daarmee kunnen aanvallers MFA omzeilen.
🔸 Gehackte apparaten
Als jouw laptop of telefoon al besmet is, kan een aanvaller gewoon meekijken of zelfs je sessie overnemen nadat je MFA hebt ingevoerd.
🔸 Social engineering
Soms bellen aanvallers gewoon de klantenservice en doen zich voor als jij. Met wat overtuiging weten ze MFA uit te zetten of je wachtwoord te resetten.
🔸 Biometrische trucs
Als iemand je vingerafdruk of gezichtsherkenning heeft gekopieerd, kan die dat blijven gebruiken. Je kunt tenslotte je gezicht niet zomaar vervangen.
Wat kun je hiertegen doen?
Hier zijn een paar simpele stappen die ik zelf toepas én adviseer aan mijn klanten:
✔️ Gebruik liever een app dan sms-codes, of gebruik je password manager.
✔️ Zorg dat MFA verplicht is ingesteld en niet optioneel
✔️ Kies MFA-oplossingen die sessiekaping herkennen of blokkeren
✔️ Antwoord nooit eerlijk op geheime herstelvragen (verzin iets en sla het veilig op)
✔️ Laat medewerkers weten hoe aanvallers te werk gaan (security awareness training!)
MFA is een middel, geen einddoel
Ik raad MFA altijd aan, want het is een goede extra laag. Maar het is geen magische oplossing. Hackers worden steeds slimmer en zoeken altijd naar de zwakke plek. Daarom is het belangrijk om breder te kijken dan alleen techniek. Bewustwording speelt minstens zo’n grote rol.
Wil je weten of jouw MFA goed is ingesteld of ben je benieuwd waar jouw organisatie nog risico loopt? Neem dan gerust contact met me op. Ik denk graag met je mee.
