Ko gre za varnost dostopa, ena priporočilo izstopa pred drugimi: večfaktorska avtentikacija (MFA). S preprostimi gesli, ki so enostavna tarča hekerjev, MFA zagotavlja bistveno plast zaščite pred vdori. Vendar pa je pomembno vedeti, da MFA ni nezmotljiv. Lahko ga obidemo, in to se pogosto dogaja.
Če geslo kompromitiramo, imajo hekerji na voljo več možnosti za obvoz dodane zaščite MFA. V nadaljevanju bomo raziskali (4) štiri taktike socialnega/družbenega inženiringa, ki jih hekerji uspešno uporabljajo za kršitev MFA, ter poudarili pomen imeti vzpostavljena močnega gesla kot dela večplastne obrambe.
Napadi s pomočjo nasprotnika v sredini (AITM)
Napadi AITM vključujejo zavajanje uporabnikov, da verjamejo, da se prijavljajo v pravo omrežje, aplikacijo ali spletno mesto. V resnici pa svoje podatke posredujejo prevarantski kopiji. To omogoča hekerjem prestrezanje gesel in manipuliranje varnostnih ukrepov, vključno z MFA opozorili.
Na primer, v nabiralnik zaposlenega prispe e-poštno sporočilo s ciljanimi goljufijami, ki se pretvarja, da prihaja iz zaupanja vrednega vira. Klik na vdelano povezavo v sporočilu jih preusmeri na ponarejeno spletno mesto, kjer hekerji zbirajo njihove prijavne podatke.
Čeprav bi MFA idealno preprečil te napade z zahtevo po dodatnem dejavniku avtentikacije, lahko hekerji uporabijo tehniko, imenovano ‘2FA prehod.’ Ko žrtev vnese svoje poverilnice na ponarejenem mestu, napadalec takoj vnese iste podatke na legitimnem mestu. To sproži pravo MFA zahtevo, ki jo žrtev pričakuje in zlahka odobri, s tem pa nevede daje napadalcu popoln dostop.
To je pogosta taktika za grožnje pri skupinah, kot je Storm-1167, ki so znane po oblikovanju ponarejenih strani za Microsoftovo avtentikacijo za zbiranje poverilnic. Ustvarijo tudi drugo stran za ribarjenje, ki posnema korak MFA pri procesu prijave v Microsoft, kar žrtvi omogoči, da vpiše svojo MFA kodo in dodeli napadalcem dostop. Od tam pridobijo dostop do legitimnega e-poštnega računa in ga lahko uporabijo kot platformo za večstopenjski napad ribarjenja.
Bombardiranje z MFA pozivi
Ta taktika izkorišča funkcijo potisnih obvestil v sodobnih avtentikacijskih aplikacijah. Po kompromitaciji gesla napadalci poskusijo prijavo, kar pošlje MFA poziv na napravo legitimnega uporabnika.
Zanašajo se na to, da bo uporabnik bodisi pomotoma sprejel poziv kot pristnega bodisi postal frustriran zaradi neprestanih pozivov in sprejel enega, da bi ustavil obvestila. Ta tehnika, znana kot bombardiranje z MFA pozivi, predstavlja pomembno grožnjo.
V enem od odmevnih incidentov so hekerji iz skupine 0ktapus kompromitirali prijavne podatke Uberjevega pogodbenika prek SMS ribarjenja, nato pa nadaljevali s postopkom avtentikacije z računalnika, ki so ga nadzirali, in takoj zahtevali kodo za večfaktorsko avtentikacijo (MFA).
Nato so se na Slacku (projektno-komunikacijsko orodje pogosto uporabljeno v organizacijah) izdajali za člana varnostne ekipe Uberja in tako prepričali pogodbenika, da sprejme potisno obvestilo MFA na svojem telefonu.
Napadi na IT asistenčni center (IT service desk)
Napadalci zavedejo pomočnike v asistenčnem centru, da zaobidejo MFA tako, da se pretvarjajo, da so pozabili geslo, in dostopajo preko telefonskih klicev. Če pomočniki v asistenčnem centru ne izvajajo ustreznih postopkov preverjanja, lahko nevede napadalcem omogočijo začetni vstop v okolje njihove organizacije.
Nedavni primer je bil napad na podjetje MGM Resorts, kjer je skupina Scattered Spider prevarala asistenčni center za ponastavitev gesla, kar jim je omogočilo, da so se prijavili in izvedli napad z izsiljevalskim virusom (ang.ransomware attack)
Napadalci prav tako poskušajo izkoristiti nastavitve obnovitve in postopke varnostnega kopiranja tako, da manipulirajo asistenčne centre, da zaobidejo MFA. Skupina 0ktapus je znana po tem, da cilja na asistenčni center organizacije, če njihov napad z bombardiranjem MFA prompta ne uspe.
Kontaktirajo asistenčne centre in trdijo, da njihov telefon ne deluje ali je izgubljen, nato pa zahtevajo vpis v novo, s strani napadalcev kontrolirao MFA avtentikacijsko napravo. Nato lahko izkoristijo proces obnove ali varnostnega kopiranja organizacije, s tem da na kompromitirano napravo pošljejo povezavo za ponastavitev gesla.
Menjava SIM (SIM swapping)
Kriminalci na področju kibernetske varnosti razumejo, da se MFA pogosto zanaša na mobilne telefone kot način avtentikacije. To lahko izkoristijo s tehniko, imenovano ‘SIM menjava’, kjer kiber napadalci zavedejo ponudnike storitev, da prenesejo storitve tarče na SIM kartico pod njihovim nadzorom.
S tem lahko dejansko prevzamejo nadzor nad ciljnim mobilnim omrežjem in telefonsko številko, kar jim omogoča prestrezanje MFA obvestil in neavtoriziran dostop do računov.
Po incidentu leta 2022 je Microsoft objavil poročilo, v katerem so podrobno opisane taktike, ki jih uporablja ena od skupin z grožnjami tega tipa, LAPSUS$. Poročilo je razložilo, kako LAPSUS$ posveča obsežne kampanje družbenega inženiringa, da bi dobili začetno oporo v ciljnih organizacijah. Eden od njihovih priljubljenih načinov je ciljanje uporabnikov s SIM menjavami, poleg MFA prompt bombardiranja in ponastavljanja poverilnic tarče preko družbenega inženiringa asistenčnih centorv v IT.
Na MFA se ne morete popolnoma zanašati – močna varnost gesla še vedno šteje
To ni bila izključna lista načinov zaobidenja večfaktorske avtentikacije MFA. Obstaja še več drugih načinov, vključno s kompromitiranjem končnih točk, izvozom generiranih žetonov, izkoriščanjem SSO in iskanjem neposodobljenih tehničnih pomanjkljivosti. Jasno je, da vzpostavitev MFA ne pomeni, da se organizacije lahko popolnoma odpovejo varnosti gesel.
Kompromitacija računa se še vedno pogosto začne z šibkimi ali kompromitiranimi gesli. Ko napadalec pridobi veljavno geslo, lahko svojo pozornost usmeri v zaobidenje mehanizma MFA.
Tudi močno geslo ne more zaščititi uporabnikov, če je bilo kompromitirano preko vdora ali ponovne uporabe gesla. In za večino organizacij popolna opustitev gesel ne bo praktična možnost.
Z različnimi orodji, ki so danes na voljo na trgu, lahko v organizaciji uveljavite robustne politike gesel za odpravo šibkih gesel in nenehno skenirate kompromitirana gesla, ki so posledica vdorov, ponovne uporabe gesel ali prodaje po napadu s prevaro.
To zagotavlja, da MFA deluje kot dodatni varnostni sloj, kot je bilo predvideno, namesto da bi se nanj popolnoma zanašali kot na rešitev, ki bo samostojno obvarovala dostopanje do vaših kritičnih podatkov.
Če vas zanima, kako bi Inovis IT lahko ustrezal posebnim potrebam/zahtevam pri zaščiti vaše organizacije, nas prosim kontaktirajte.