MFA фишингът

MFA фишингът
Дигиталната амнезия

Киберпрестъпниците са добре запознати с тактиката на фишинга, чиято цел е да подведе потребителите да разкрият поверителна информация, да получат неоторизиран достъп до потребителски акаунти и да компрометират корпоративни мрежи. Сега се появи нов вид фишинг атака, известна като MFA фишинг, която успява да заобиколи ключовите мерки за защита, прилагани от корпоративните мрежи.

Докладът на SANS 2022 “Управление на човешкия риск” подчертава простия факт, че последната линия на защита срещу кибератаки са хората. Един от основните изводи в проучването посочва, че управлението на човешкия риск ще бъде от основно значение за киберсигурността в бъдеще, особено когато става въпрос за заплахи, лансирани за достъп до корпоративни мрежи. Тази нарастваща тенденция подчертава критичната необходимост от внедряване на устойчиво на фишинг решение за MFA (многофакторно удостоверяване).

През септември миналата година Uber беше засегната от кибератака срещу нейните системи, след като злонамерен хакер успешно компрометира акаунта на един от контрагентите на компанията. След като разследва инцидента, компанията стига до заключението, че киберпрестъпникът вероятно е закупил корпоративната парола на мишената в тъмната мрежа, след като личното устройство на жертвата е било заразено със зловреден софтуер и идентификационните ѝ данни са били разкрити. Това подхлъзване е било използвано от хакера, който е инициирал фишинг атака с MFA, след като умората от MFA е накарала потребителя да приеме една от фалшивите заявки, което е довело до успешно влизане в системата.

Този случай е пример за най-голямата уязвимост в киберсигурността: хората. Няма как да се отмине фактът, че решенията за сигурност често изискват човешко взаимодействие и хората наистина стават жертва на измами като социално инженерство или фишинг.

Как работи фишингът с MFA?

При MFA фишинг атаката киберпрестъпникът се опитва да подмами потребителите да разкрият поверителната информация, която използват за удостоверяване, или да се намеси в измамното одобрение на заявката за влизане, изготвена от тяхното MFA решение. При успешна MFA фишинг атака като първа стъпка се получават идентификационните данни на мишената. Кражбата на идентификационни данни може да се осъществи по няколко начина, включително чрез комбинация от следните:

  • Фишинг атаки: Киберпрестъпниците често използват фалшиви (въпреки че изглеждат истински) имейли и уебсайтове, за да получат чувствителна информация от нищо неподозиращи жертви. След това нападателят може да използва тази информация, за да открадне идентификационните данни за вход.
  • Автоматизирани атаки: Използване на злонамерен софтуер за достъп до идентификационните данни на потребителя без негово знание. Нова тактика в две посоки, която се оказва успешна и оказва влияние върху нарастващото търсене на крадци на информация в тъмната мрежа, включва разгръщане на зловреден софтуер за получаване на идентификационни данни на потребителя, последвано от атака за умора от MFA, за да се получи достъп до корпоративни мрежи.
  • Атаки с груба сила: при атаките с груба сила киберпрестъпниците използват автоматизирани програми, които могат систематично да отгатват пароли, потребителски имена и други идентификационни данни, които осигуряват достъп до различни акаунти. Credential stuffing е атака с груба сила, при която след това се тестват двойки потребителски имена и пароли, получени от нарушение на данните в друг сайт.
  • Социално инженерство: Хакерите се стремят да спечелят доверието на потребителите чрез социално инженерство, за да ги манипулират и да получат техните идентификационни данни.

След като нападателят получи идентификационните данни на целта си чрез прилагане на тази тактика, той може да използва подобни методи за извършване на MFA фишинг. SMS или имейл фишингът се използва, за да се опитат да подмамят целите да разкрият кода за удостоверяване на MFA, изпратен по тези канали. По подобен начин злонамерените хакери могат да използват споофинг атака, при която се представят за надеждно лице, например за легитимен служител на компания, който иска от потребителя да разкрие информацията си за вход заедно с кода за MFA.

Този вид атака обикновено е най-ефективен за решенията за MFA, които използват еднократни кодове, но може да е по-трудно да се накара потребителят да одобри искане от приложение на мобилното си устройство. Ето защо умората на MFA става популярна, както в случая с атаките срещу големи корпоративни мрежи на компании като Uber или Cisco.

Използвайки тази тактика, киберпрестъпниците могат да изпратят множество push (изскачащи) известия на мобилното устройство на своята цел. Претоварени от броя на получаваните заявки за удостоверяване чрез MFA, потребителите могат да започнат да ги игнорират, да деактивират това решение за сигурност или дори по невнимание да предоставят достъп, като по този начин станат жертва на фишинг атака чрез MFA.

Компаниите се нуждаят от устойчиво на фишинг MFA решение

Тъй като този нов тип атаки вече ескалира, компаниите се нуждаят от решение, което защитава от умора на MFA. Внедряването на инструмент, който позволява на потребителите да предприемат действия, ако получат неочаквани известия за натискане, намалява възможността за случайно одобрение на неоторизиран достъп.

За MSP, които се стремят да защитят клиентите си, добавянето на MFA решение, устойчиво на фишинг, към портфолиото им осигурява конкурентно предимство пред други предприятия от този тип.

При добавянето на тази функционалност към съществуващите решения обаче трябва да се вземе предвид триенето на крайните потребители. Ако това триене е голямо, крайният потребител може да избере да избегне или да игнорира сигурността, оставяйки корпоративните мрежи изложени на зловредни действия. AuthPoint на WatchGuard еволюира, за да се справи с новите усъвършенствани заплахи, и сега позволява на потребителите да деактивират известията за натискане, като по този начин намалява умората от MFA. Така, просто и без да се включват допълнителни фактори за проверка, ако потребителят откаже първата заявка за удостоверяване, новата функция предлага да се деактивира напълно функцията за заявка, което не позволява на потребителите случайно да предоставят достъп до корпоративната мрежа. Комбинирането на тази функционалност с други, като например ограничения на политиките, повишава сигурността, което предотвратява неоторизиран достъп.

MFA фишингът е пример за това как киберпрестъпниците все още намират нови начини да достигнат до своите цели. Днес единственият начин да се предотвратят тези атаки от технологична гледна точка е да се внедри устойчиво на фишинг MFA решение, което намалява вероятността да бъде засегнато от човешка грешка и не позволява на киберпрестъпниците да получат достъп до корпоративните мрежи.

Източник: watchguard.com

 

Сподели в:

Категории:

Следвай ни в: