4 tapaa, joilla hakkerit käyttävät sosiaalista suunnittelua MFA:n ohittamiseen
Mitä tulee pääsyn tietoturvaan, yksi suositus erottuu muiden yläpuolella: monitekijätodennus (MFA). Pelkät salasanat ovat hakkereille yksinkertaista työtä, joten MFA tarjoaa olennaisen suojakerroksen tietomurtoja vastaan. On kuitenkin tärkeää muistaa, että MFA ei ole idioottivarma. Se voidaan ohittaa, ja usein se onkin.
Jos salasana vaarantuu, hakkereilla on useita vaihtoehtoja, jotka haluavat kiertää MFA:n lisäsuojan. Tutkimme neljää sosiaalisen manipuloinnin taktiikkaa, joita hakkerit käyttävät menestyksekkäästi MFA:n rikkomiseen, ja korostamme vahvan salasanan tärkeyttä osana kerrostettua puolustusta.
1. Man-in-the-middle (AITM) -hyökkäykset
AITM-hyökkäykset sisältävät käyttäjien huijaamisen uskomaan, että he kirjautuvat aitoon verkkoon, sovellukseen tai verkkosivustoon. Mutta todella, he luovuttavat tietonsa petollisen kaltaiselle. Näin hakkerit voivat siepata salasanoja ja manipuloida turvatoimia, mukaan lukien MFA-kehotteet. Esimerkiksi keihään kalasteluviesti voi saapua työntekijän postilaatikkoon esiintyen luotettavana lähteenä. Upotetun linkin napsauttaminen ohjaa heidät väärennetylle verkkosivustolle, jolta hakkerit keräävät kirjautumistietonsa.
Vaikka MFA:n pitäisi ihannetapauksessa estää nämä hyökkäykset vaatimalla lisätodennustekijää, hakkerit voivat käyttää tekniikkaa, joka tunnetaan nimellä “2FA pass-on”. Kun uhri syöttää valtuustietonsa väärennetylle sivustolle, hyökkääjä syöttää välittömästi samat tiedot lailliseen sivustoon. Tämä käynnistää oikeutetun MFA-pyynnön, jonka uhri ennakoi ja hyväksyy helposti ja antaa hyökkääjälle tahattomasti täydellisen pääsyn.
Tämä on yleinen taktiikka uhkaryhmille, kuten Storm-1167:lle , jotka tunnetaan väärennettyjen Microsoftin todennussivujen luomisesta valtuustietojen keräämiseksi. He luovat myös toisen tietojenkalastelusivun, joka jäljittelee Microsoftin kirjautumisprosessin MFA-vaihetta ja kehottaa uhria syöttämään MFA-koodinsa ja myöntämään hyökkääjille pääsyn. Sieltä he pääsevät lailliseen sähköpostitiliin ja voivat käyttää sitä alustana monivaiheiselle tietojenkalasteluhyökkäykselle.
2. MFA:n nopea pommitus
Tämä taktiikka hyödyntää nykyaikaisten todennussovellusten push-ilmoitusominaisuutta. Salasanan vaarantamisen jälkeen hyökkääjät yrittävät kirjautua sisään, mikä lähettää MFA-kehotteen laillisen käyttäjän laitteelle. He luottavat siihen, että käyttäjä joko pitää sen aidona kehotteena ja hyväksyy sen tai turhautuu jatkuviin kehotteisiin ja hyväksyy sellaisen lopettaakseen ilmoitukset. Tämä tekniikka, joka tunnetaan nimellä MFA pikapommitukset , muodostaa merkittävän uhan.
Merkittävässä tapahtumassa 0ktapus -ryhmän hakkerit vaaransivat Uber-urakoitsijan kirjautumistiedot tekstiviestien tietojenkalastelulla, jatkoivat sitten todennusprosessia hallitsemastaan koneesta ja pyysivät välittömästi monitekijätodennuskoodia (MFA). Sitten he esiintyivät Uber-turvatiimin jäsenenä Slackin kautta ja vakuuttivat urakoitsijan hyväksymään MFA:n push-ilmoituksen heidän puhelimeensa.
3. Palvelupistehyökkäykset
Hyökkääjät huijaavat helpdeskejä ohittamaan MFA:n teeskentelemällä salasanan unohtamista ja pääsemällä sisään puheluiden kautta. Jos palvelupisteen edustajat eivät noudata asianmukaisia varmennusmenettelyjä, he voivat tietämättään antaa hakkereille ensimmäisen sisääntulopisteen organisaationsa ympäristöön. Tuore esimerkki oli MGM Resorts -hyökkäys , jossa Scattered Spider -hakkeriryhmä otti vilpillisesti yhteyttä palvelupisteeseen salasanan vaihtamiseksi, mikä antoi heille jalansijan kirjautua sisään ja käynnistää kiristysohjelmahyökkäys.
Hakkerit yrittävät myös hyödyntää palautusasetuksia ja varmuuskopiointimenettelyjä manipuloimalla palvelupisteitä MFA:n kiertämiseksi. 0ktapusin tiedetään turvautuvan kohdistamiseen organisaation palvelupisteeseen, jos heidän MFA-pikapommituksensa osoittautuu epäonnistuneeksi. He ottavat yhteyttä huoltopisteisiin väittäen, että heidän puhelimensa on käyttökelvoton tai kadonnut, ja pyytää sitten rekisteröitymään uuteen, hyökkääjän ohjaamaan MFA-todennuslaitteeseen. He voivat sitten hyödyntää organisaation palautus- tai varmuuskopiointiprosessia lähettämällä salasanan palautuslinkin vaarantuneeseen laitteeseen. Oletko huolissasi palvelupisteen tietoturva-aukoista? Opi turvaamaan omasi .
4. SIM-kortin vaihto
Kyberrikolliset ymmärtävät, että MFA luottaa usein matkapuhelimiin todennuskeinona. He voivat hyödyntää tätä “SIM-swap”-tekniikalla, jossa hakkerit huijaavat palveluntarjoajia siirtämään kohteen palvelut hallinnassaan olevalle SIM-kortille. He voivat sitten tehokkaasti ottaa haltuunsa kohteen matkapuhelinpalvelun ja puhelinnumeron, jolloin he voivat siepata MFA-kehotteita ja saada luvattoman pääsyn tileille.
Vuonna 2022 tapahtuneen tapauksen jälkeen Microsoft julkaisi raportin, jossa kerrottiin uhkaryhmän LAPSUS$ käyttämät taktiikat . Raportissa selitettiin, kuinka LAPSUS$ omistaa laajoja sosiaalisen suunnittelun kampanjoita saadakseen jalansijaa kohdeorganisaatioissa. Yksi heidän suosituista tekniikoistaan on kohdistaminen käyttäjiin SIM-korttien vaihtohyökkäyksillä, MFA-pommitusten ohella ja kohteen tunnistetietojen nollaaminen help deskin sosiaalisen manipuloinnin avulla.
Et voi täysin luottaa MFA:han – salasanasuojauksella on silti merkitystä
Tämä ei ollut yksinomainen luettelo tavoista ohittaa MFA. On myös useita muita tapoja , mukaan lukien päätepisteiden vaarantaminen, luotujen tunnisteiden vienti, kertakirjautumisen hyödyntäminen ja korjaamattomien teknisten puutteiden löytäminen. On selvää, että MFA:n perustaminen ei tarkoita, että organisaatiot voisivat unohtaa salasanojen suojaamisen kokonaan.
Tilin vaarantaminen alkaa edelleen usein heikkoista tai vaarantuneista salasanoista. Kun hyökkääjä saa kelvollisen salasanan, hän voi siirtyä MFA-mekanismin ohittamiseen. Edes vahva salasana ei voi suojata käyttäjiä, jos se on vaarantunut tietomurron tai salasanan uudelleenkäytön seurauksena . Ja useimmille organisaatioille täysin salasanaton siirtyminen ei ole käytännöllinen vaihtoehto.