Gebruikers van Gmail en Yahoo in het Midden-Oosten en Noord-Afrika zijn het doelwit van een phishingaanval geworden die niet alleen om een wachtwoord vroeg, maar ook om de verificatiecode om op het account in te loggen. Op deze manier konden de aanvallers ondanks het gebruik van tweefactorauthenticatie toch toegang tot accounts krijgen. Dat laat Amnesty International in een analyse weten.

De aanval was onder andere gericht tegen mensenrechtenactivisten, politici en journalisten en begon met een waarschuwingsbericht. Volgens de waarschuwing werd het account van de gebruiker ook nog op een andere locatie gebruikt. De meegestuurde link in de e-mail wees naar een phishingpagina. Zodra gebruikers hun wachtwoord op deze phishingpagina invoeren verschijnt er een melding dat er een tweestapsverificatiecode is verstuurd die moet worden ingevoerd.

Deze verificatiecode is echt van Google afkomstig. Zodra gebruikers de code op de phishingpagina invoeren verschijnt er een formulier dat vraagt om het wachtwoord van het account te wijzigen. Hierna wordt het slachtoffer naar een echte Google-pagina doorgestuurd. Na het doorlopen van al deze stappen hebben de aanvallers toegang tot het account verkregen.

“Met voldoende automatisering kunnen de aanvallers de tweefactor-authenticatiecodes en sessie gebruiken voordat ze verlopen, succesvol inloggen en toegang tot alle e-mails en contacten van het slachtoffer krijgen. In andere woorden, als het om gerichte phishing gaat is softwaregebaseerde tweefactorauthenticatie, zonder gepaste mitigatie, op z’n hoogst een klein obstakel”, aldus Amnesty.

Volgens de mensenrechtenorganisatie is tweefactorauthenticatie belangrijk, maar is het mogelijk dat wanneer ingeschakeld mensen denken dat ze zomaar overal kunnen inloggen. Het is met name voor activisten en mensenrechtenbeschermers, die geregeld het doelwit van gerichte phishingaanvallen zijn, belangrijk dat ze weten hoe aanvallers tweefactorauthenticatie proberen te omzeilen, laat Amnesty weten. De organisatie stelt dat op dit moment het gebruik van fysieke usb-beveiligingssleutels de veiligste optie voor tweefactorauthenticatie is.

Image