Salty2FA: phishing-kit doorbreekt de bescherming van Multi Factor Authenticatie
Een recent ontdekt phishing-framework met de naam Salty2FA laat zien dat de verdediging rond Multi Factor Authentication (MFA) steeds meer onder druk komt te staan. Onderzoekers waarschuwen dat deze kit gebruikt wordt in gerichte campagnes, vooral gericht op bedrijfsgebruikers in de Verenigde Staten en Europa, en dat de complexiteit en professionaliteit van phishing-infrastructuren snel toeneemt.
Wat is Salty2FA
Salty2FA is een Phishing-as-a-Service (PhaaS)-kit die meerdere technieken combineert om MFA-beveiliging te omzeilen. De kit bootst zoveel mogelijk legitieme MFA-processen na – denk aan sms-codes, push-meldingen, apps, telefoontjes, hardware-tokens en backup-codes.
Daarnaast gebruikt de kit geavanceerde methodes om onderschepping door beveiligingssystemen te bemoeilijken: sessie-specifieke subdomeinen die constant wisselen, geofencing en IP-filtering, anti-debugging-tools, en zelfs captcha-achtige mechanismen via diensten zoals Cloudflare Turnstile om geautomatiseerde scans en sandboxes buiten te sluiten.
Ook maakt men gebruik van dynamische branding: de vervalste login-pagina’s stemmen branding (logo’s, kleuren etc.) af op het e-maildomein van het slachtoffer, zodat het geheel uiterst overtuigend overkomt.
Hoe Salty2FA werkt in de aanvalsketen
De campagnes beginnen meestal met een schijnbaar onschuldige phishing-mail, bijvoorbeeld met een uitnodiging om een gedeeld document te bekijken. Daaraan zit vaak een link verborgen die leidt naar een pagina gehost via bestaande, legitieme platformen zoals Aha.io. Deze eerste pagina fungeert als de lokker.
Vervolgens worden gebruikers doorgestuurd via beschermende lagen die geautomatiseerde analyses tegenhouden. Pas dan belanden ze op een echte nep-loginpagina waar het volledige proces van gebruikersnaam, wachtwoord én MFA wordt geënsceneerd.
In sommige gevallen wordt het verkeer afkomstig van bekende beveiligingsbedrijven of cloud-provider-IP’s uitgefilterd, zodat alleen ‘echte’ slachtoffers de pagina te zien krijgen. Dat maakt detectie en mitigatie extra lastig.
Risico’s en gevolgen
De grootste zorg is dat MFA, lang gezien als een betrouwbare verdedigingslijn, door Salty2FA niet genoeg blijkt om accounts te beschermen. Organisaties die sterk vertrouwen op standaard MFA-middelen zoals sms of authenticatorapps lopen nu een verhoogd risico.
Daarnaast vergroot de schaalbaarheid van phishing-operaties: met dergelijke kits kan ook een aanvaller met relatief beperkte technische middelen serieuze schade aanrichten. De zichtbaarheid van zwakke plekken in beveiligingsbeleid, zoals ongepaste configuratie van MFA, slecht getrainde gebruikers of kwetsbare e-mailinfrastructuren, wordt hiermee steeds hoger.
Adviezen voor organisaties
Om de schade door Salty2FA en vergelijkbare kits te beperken, luiden experts de volgende aanbevelingen:
- Introduceer MFA-methoden die resistent zijn tegen phishing in plaats van alleen te vertrouwen op sms-codes of gedeelde secrets.
- Maak gebruik van gedragsanalyse en anomaliedetectie (bv. afwijkend domeinverkeer, wisselende subdomeinen, onverwachte JavaScript-uitvoering) in plaats van enkel statische indicatoren zoals zwarte lijsten of bekende IO-indicatoren.
- Beperk het gebruik van platformdiensten: controleer interne beleid en medewerkersbewustzijn om te voorkomen dat men zomaar links volgt zonder verificatie.
- Zorg ervoor dat e-mailgateway-instellingen zoals anti-spoofing, DMARC, SPF, en DKIM correct zijn geconfigureerd.
- Zorg voor geavanceerde beveiliging (door de Microsoft E5 security add on)
- Train medewerkers in het herkennen van phishingcampagnes, met speciale aandacht voor verfijnde methodes die MFA simuleren (Security awareness)
- Zorg dat er goed inzicht is in wat er in de omgeving gebeurt en dat er adequaat wordt opgetreden in het geval van dreiging (Managed Detection and Response)
Zelfs MFA biedt geen zekerheid meer
Salty2FA benadrukt dat phishing zich ontwikkelt naar een niveau waarbij zelfs traditionele beveiligingsmaatregelen zoals MFA geen waterdichte verdediging meer vormen. De combinatie van technische innovatie, overtuigende kwaadaardige branding en geavanceerde ontwijkingstechnieken creëert een situatie waarin organisaties hun verdediging moeten herzien. Wie denkt dat enkel wachtwoorden of standaard MFA voldoende zijn, loopt het risico dat reputatie, data en vertrouwen snel worden aangetast.
Bronnen
- Onderzoek van Ontinue (Cyber Defence Center) over de kenmerken en werking van Salty2FA. (CSO Online)
- Publicaties in Infosecurity Magazine, Darkreading en CSO Online over de geavanceerde technieken gebruikt door Salty2FA. (infosecurity-magazine.com)
- Analyse door ANY.RUN over de infrastructuur, domeinpatronen en anti-detectietactieken. (any.run)
