Cyberzagrożenia,Główna,Multi-Factor Authentication

MFA phishing — zagrożenie dla firmowych sieci

Czas czytania: 4 min

Phishing to na chwilę obecną jedna z najpopularniejszych taktyk wśród cyberprzestępców. Jej celem jest nakłonienie użytkowników do ujawnienia poufnych informacji i uzyskanie nieautoryzowanego dostępu do ich kont, a tym samym narażenie na szwank sieci korporacyjnych. Phishing jest tematem wielokrotnie poruszanym i przeanalizowanym, większość z nas zna wobec tego mechanizmy działania przestępców. Obecnie pojawił się jednak nowy rodzaj ataku phishingowego, dzięki któremu cyberprzestępcy są w stanie omijać kluczowe zabezpieczenia wdrażane w sieciach korporacyjnych. Mowa o zjawisku MFA phishing.

Raport SANS 2022 Managing Human Risk podkreśla, że pierwszą linią obrony przed cyberatakami są ludzie. Jeden z głównych wniosków z tego badania wskazuje, że zarządzanie ryzykiem ludzkim będzie miało fundamentalne znaczenie dla cyberbezpieczeństwa w przyszłości. Zwłąszcza jeśli chodzi o zagrożenia mające na celu uzyskanie dostępu do sieci korporacyjnych. Dla przedsiębiorstw oznacza to krytyczną potrzebę wdrażania odpornych na phishing rozwiązań MFA (multi-factor authentication). 

We wrześniu ubiegłego roku firma Uber została dotknięta cyberatakiem na swoje systemy. Wszystko to miało miejsce po tym, jak napastnik skutecznie skompromitował konto jednego z pracowników. Haker sam wyjawił wektor ataku, jakim był socjotechniczny phishing na pracowniku, skutkujący wykradzeniem jego hasła. Następnie spamował on ofiarę irytującymi powiadomieniami PUSH w aplikacji MFA, aby uzyskać dostęp do systemu. Działania te finalnie poskutkowały uzyskaniem autoryzacji.

Więcej o taktyce irytowania użytkownika i samym ataku na Uber pisaliśmy TUTAJTUTAJ.

Nie da się ukryć, że rozwiązania bezpieczeństwa często wymagają interakcji z człowiekiem, a ludzie niestety padają ofiarami oszustw takich jak inżynieria społeczna czy phishing. Przypadek Ubera to zatem idealny przykład potwierdzający naszą tezę: najsłabszym ogniwem każdej strategii cyberbezpieczeństwa jest człowiek.

Jak działa MFA phishing?

W ataku phishingowym tego typu cyberprzestępca próbuje nakłonić ofiarę do ujawnienia danych uwierzytelniających i zatwierdzenia żądania wygenerowanego przez rozwiązanie MFA.

Phisherzy w pierwszym kroku uzyskują dane uwierzytelniające celu. Do ich kradzieży może dojść na kilka sposobów:

  • Klasyczny phishing. Cyberprzestępcy często wykorzystują fałszywe (choć wyglądające na prawdziwe) wiadomości e-mail i strony internetowe, aby uzyskać poufne informacje od niczego niepodejrzewających ofiar. Napastnik może następnie wykorzystać te informacje do kradzieży danych uwierzytelniających.
  • Ataki zautomatyzowane. Nowa dwutorowa taktyka polegająca po pierwsze na wdrażaniu złośliwego oprogramowania typu infostealer, w celu uzyskania danych uwierzytelniających użytkownika. Następnie przeprowadzany jest atak typu MFA fatigue (dosł. “zmęczenie uwierzytelnianiem wielopoziomowym”) w celu uzyskania dostępu do sieci korporacyjnych.
  • Ataki brute-force. W atakach tego typu wykorzystują zautomatyzowane programy, które mogą systematycznie odgadywać hasła, nazwy użytkowników i inne dane uwierzytelniające. Credential stuffing to atak typu brute-force, który polega na próbach przejęcia dostępu do konta przy wykorzystaniu loginów i haseł wcześniej skradzionych lub uzyskanych w wyniku naruszenia danych w innym serwisie/witrynie.
  • Socjotechnika. Cyberprzestępcy starają się zdobyć zaufanie użytkowników za pomocą technik inżynierii społecznej w celu manipulowania nimi i uzyskania ich danych uwierzytelniających

Po uzyskaniu danych uwierzytelniających ofiary, atakujący może użyć podobnych metod do przeprowadzenia phishingu MFA. W tym celu często wykorzystuje się wiadomości SMS lub e-mail nakłaniające cel do ujawnienia kodu uwierzytelniania MFA. Ponadto oszuści chętnie podszywają się pod zaufaną osobę, np. pracownika działu IT, który prosi użytkownika o ujawnienie informacji logowania wraz z kodem MFA.

Ten rodzaj ataku jest najskuteczniejszy w przypadku rozwiązań MFA, które korzystają z jednorazowych kodów. Nieco większe schody zaczynają się, jeśli chodzi o uzyskanie zgody użytkownika na żądanie z aplikacji na jego urządzeniu mobilnym. Z tego powodu na popularności zyskuje ciekawe zjawisko, jakim jest…

…MFA fatigue

Korzystając z tej taktyki, cyberprzestępcy wysyłają wielokrotne powiadomienia push na urządzenie mobilne swojego celu. Przytłoczeni ilością otrzymywanych żądań uwierzytelnienia MFA użytkownicy mogą zacząć je ignorować, wyłączyć lub nieumyślnie zaakceptować, stając się tym samym ofiarą ataku phishingowego MFA.

Żywy przykład tego, do czego prowadzi zmęczenie MFA mieliśmy okazję zobaczyć w przypadku ataków na duże sieci korporacyjne firm takich jak rzeczony wcześniej Uber czy Cisco.

MFA odporne na phishing

Wobec nasilania się ataków tego typu, przedsiębiorstwa potrzebują rozwiązania, które skutecznie uchroni ich pracowników przed zmęczeniem MFA. Wdrożenie narzędzia, które umożliwia użytkownikom podejmowanie działań w przypadku otrzymania nieoczekiwanych powiadomień push, zmniejsza prawdopodobieństwo przypadkowego zatwierdzenia nieautoryzowanego dostępu.

Rozwiązanie AuthPoint od firmy WatchGuard wciąż ewoluuje, wychodząc naprzeciw nowym zaawansowanym zagrożeniom. W związku z tym obecnie umożliwia użytkownikom wyłączenie powiadomień push, niwelując zjawisko zmęczenia MFA. Tak więc, jeśli użytkownik odrzuca pierwsze żądanie uwierzytelnienia, nowa funkcja pozwala na całkowite wyłączenie funkcji żądania. Uniemożliwia to użytkownikom nieumyślne udzielenie dostępu do sieci korporacyjnej. Połączenie tej funkcjonalności z innymi, takimi jak ograniczenia polityk, wzmacnia bezpieczeństwo, co zapobiega nieautoryzowanemu dostępowi.

MFA phishing to idealny przykład tego, jak uparcie cyberprzestępcy szukają nowych sposobów dotarcia do swoich celów. Obecnie jedynym sposobem zapobiegania tym atakom jest wdrożenie odpornego na phishing rozwiązania MFA, które zmniejsza prawdopodobieństwo błędu ludzkiego i uniemożliwia cyberprzestępcom dostęp do sieci korporacyjnych.


Źródło: https://www.watchguard.com/wgrd-news/blog/mfa-phishing-cyberattack-compromising-big-company-networks

Grafika: freepik





Dodaj komentarz