Godinama su kibernetički stručnjaci za bezbjednost reklamirali višefaktorsku autentifikaciju (MFA) kao takozvani ‘srebrni metak’ protiv preuzimanja računa. Kako su kibernetički kriminalci neprestano pojačavali svoje napore društvenog inženjeringa, MFA je brzo postala prepreka izbora između prevarenog korisnika i uspješnog napada na krađu identiteta. Međutim, kao što su stručnjaci za bezbjednost previše svjesni, ništa ne zaustavlja oportunističke hakere na njihovom putu.
Sada vidimo početke promjene u okruženju prijetnji potaknuto širokim usvajanjem MFA. Kibernetički kriminalci se okreću kako bi iskoristili slabosti MFA, od jednostavnog zasipanja korisnika upozorenjima o zahtjevima za autentifikaciju do sofistikovanijih kompleta za krađu identiteta koji ugrožavaju tokene za autentifikaciju.
Hakeri sada shvataju da je efikasnije, i jeftinije, ukrasti kredencijale i prijaviti se nego pokušati hakovati kroz tehničke kontrole. Nakon što izvuku detalje o pristupu samo od jednog zaposlenog, kreću se lateralno, kradući još više kredencijala, kompromitujući servere i krajnje tačke i preuzimajući osjetljive organizacijske podatke, napadaču je sada previše lako pretvoriti jedan kompromitovani identitet u ransomware za cijelu organizaciju, incident ili kršenje podataka.
Iako MFA ostaje važna preventivna kontrola za preuzimanje računa, organizacije moraju shvatiti da jednostavno implementiranje ovog dodatnog sloja autentifikacije više nije dovoljno. Sigurnosni timovi moraju uzeti u obzir detektivske kontrole koje imaju kako bi uočili kompromitovane korisnike prije nego što se napravi prevelika šteta.
Autentična dostava
MFA može pomoći u smanjenju površine napada na organizacije dodavanjem još jednog sloja bezbjednosti naloga. On dopunjuje model korisničkog imena i lozinke još jednim faktorom koji samo korisnik posjeduje, kao što je njegov mobilni telefon. Ipak, kao što pokazuju nove ranjivosti, MFA sama po sebi ne pruža dovoljnu sigurnost. Dva ključna aspekta koja treba uzeti u obzir su kako korisnik dolazi do sekundarne metode provjere autentičnosti i koliko je lako da ga napadač izvuče.
Email je jedna od opcija za isporuku koda za autentifikaciju korisniku, ali ova opcija je vjerovatno najmanje sigurna, ostavljajući korisnika ranjivim ako i njegovi računi email budu kompromitovani, što je vjerojatnije ako napadač već ima svoje kredencijale.
Još jedna opcija je jednokratni kodovi koji se šalju SMS-om. Iako je ovo bolje nego da nema dodatne autentifikacije, relativno je nepouzdano, a tekstualne poruke se mogu lako presresti i lažirati. Hakeri takođe koriste ‘otmicu SIM-a’, gdje se lažno predstavljaju i preuzimaju kontrolu nad telefonskim brojem korisnika. Uz vaš telefonski broj, hakeri mogu presresti bilo koje dvofaktorske kodove za autentifikaciju poslane tekstualnom porukom.
Korištenje autentifikatora instaliranih na korisnikovom uređaju je bolja opcija. Autentikatori prikazuju PIN-ove koje korisnici mogu uneti u sistem za autentifikaciju, koji služi kao sekundarni korak. Međutim, to se još uvijek može zaobići korištenjem društvenog inženjeringa. Na primjer, napadači koji ciljaju određene pojedince mogu ih nazvati nakon krađe kredencijala kako bi uvjerili ciljanog korisnika da također pruži MFA token.
Preopterećenje socijalnog inženjeringa
Kao i kod većine kibernetičkih napada, društveni inženjering je u središtu uspješnog izvlačenja korisničkih MFA tokena. Kibernetički kriminalci iskorištavaju ne samo tehnologiju već i ljudske slabosti. U nastavku ćemo pogledati taktike koje hakeri koriste da zaobiđu MFA.
MFA Zamor
Možda se pitate kako kibernetički kriminalac može efikasno doći do korisničkog MFA tokena ako je na mobilnom uređaju ili u aplikaciji. Pa, s obzirom da mnogi MFA provajderi dozvoljavaju korisnicima da prihvate push notifikacije telefonske aplikacije ili da prime telefonski poziv i pritisnu tipku kao drugi faktor, kibernetički kriminalci to iskorištavaju.
Sada vidimo maliciozne napadače koji ciljaju korisnike s valom ‘MFA zamor napada’, gdje bombarduju žrtve MFA push notifikacijama, brzinom bez presedana, kako bi ih prevarili da autentifikuju svoje pokušaje prijave. Ova taktika je relativno jednostavna, brzo pošaljite korisniku neželjenu poštu tako da on na kraju odobri pokušaj prijave da zaustavi upozorenja.
MFA Phishing Kitovi
Važno je napomenuti da iako mnogi korisnici nisu svjesni ove pretnje, to nije ništa novo. Proofpoint-ovi istraživači pretnji potvrdili su ranjivosti zaobilazeći MFA prije dvije godine, ali hakeri sada pokazuju sofistikovanije pristupe.
Sada vidimo određene alate koje koriste kibernetički kriminalci za izvođenje MFA zaobilaznih napada. Na primjer, naši istraživači bezbjednosti su otkrili da su kompleti za krađu identiteta dizajnirani da zaobiđu MFA krađom kolačića sesije sve popularniji u podzemlju kibernetičkog ktiminala. Dok MFA phishing kitovi postoje već nekoliko godina, ono što je danas zabrinjavajuće je brzo usvajanje i širenje ovih MFA phishing kitova.
Blokiranje bypass-a
Iako kibernetički kriminalci povećavaju svoje pokušaje da zaobiđu ovu tehnologiju, MFA će ostati važna preventivna kontrola za preuzimanje računa. Većina vodećih organizacija je implementirala MFA i uglavnom su uspjele da odbiju krađu kredencijala nekoliko godina.
Da bi nastavile da ubiru plodove MFA, organizacije moraju procijeniti svoju sposobnost da otkriju kompromitaciju računa, a ne samo da je spreče. Dok se MFA bypass osjeća kao relativno novi bezbjednosni izazov, lanac napada koji vidimo je isproban i testiran. Kibernetički kriminalci ciljaju na ljude, a većina ovih napada počinje s emailo-om, s ciljem da prevare korisnika da preda kredencijale i odobri pristup organizaciji.
Organizacije moraju prepoznati potrebu za snažnom sigurnošću email–a jer većina napada počinje ovdje. Ključni prvi korak u osiguravanju uspjeha MFA kontrola je prvo blokiranje pretnji da dođu do korisnika u prvom redu uz modernu sigurnost email-a koja može otkriti maliciozne URL-ove.
Zatim, organizacije moraju implementirati tehnologiju za identifikaciju i odgovor na kompromitovane korisnike i uklanjanje onoga što napadačima treba da dovrše svoj zločin, privilegirani pristup računu. Jedinstveni pristup otkrivanju pretnji identitetu i odgovoru (ITDR) pomoći će organizacijama da otklone rizike privilegovanog identiteta i razumiju potencijalne posljedice kompromisa, kao što je pristup kritičnim podacima i intelektualnoj svojini.
Konačno, organizacije moraju zaštititi podatke rešenjima za sprečavanje gubitka podataka sljedeće generacije (DLP) koja sprečavaju da podaci dođu u pogrešne ruke.
Implementacijom robusnih tehničkih kontrola, organizacije mogu ukloniti nagađanja od zaposlenih, mnoga tehnologija bi ovdje morala poći po zlu da bi korisnik napravio grešku. Međutim, kao i kod svih pretnji, kombinacija ljudi, procesa i tehnologije je ključna, tako da bi sigurnosni timovi trebali osigurati da podižu svijest među svojom radnom snagom o opasnostima zaobilaženja MFA-a kako bi pomogli svojim korisnicima da identifikuju nelegitimna upozorenja.
Izvor: Infosecurity Magazine