Nieodłączne słabości zabezpieczeń haseł doprowadziły do powstania uwierzytelniania wieloskładnikowego (MFA) w celu lepszego zabezpieczenia dostępu do danych i systemów.Uwierzytelnianie wieloskładnikowewymaga od użytkowników udowodnienia swojej tożsamości za pomocą dwóch lub więcej niezależnych czynników weryfikacyjnych: Chociaż usługa MFA jest z pewnością bezpieczniejsza niż nazwa logowania i hasło, orazZaleca się, aby organizacje wdrażały MFA tam, gdzie to możliwe, jak bezpieczne jest naprawdę MFA? W szczególności, jak bezpieczne jest MFA, które opiera się na hasłach lub innych czynnikach „wiedzy” w ramach procesu uwierzytelniania? A co z innymi formami usługi MFA, takimi jak powiadomienia wypychane?
Niestety, nasiliła się liczba hakerów atakujących typowe procedury MFA, takie jak hasła jednorazowe (OTP) oraz połączenia głosowe lub powiadomienia push wysyłane na telefony. To zawiera wyspecjalizowane usługi, które wynajmują botyktóre zbierają OTP, aby pomóc hakerom w próbach obejścia MFA.
Inne ataki, jak np grupa Lapsus $, który niedawno zhakował firmy Microsoft, Okta i Samsung, omija zabezpieczenia MFA za pomocą technik takich jak socjotechnika, wymiana kart SIM i eskalacja ataków za pośrednictwem zhakowanych kont dodatkowych. Łatwość, z jaką hakerzy mogą teraz ominąć MFA, udowodniła, że większość rozwiązań MFA można złamać, chociaż niektóre oferują znacznie silniejszą ochronę niż inne.
Aby odpowiedzieć na pytanie „jak bezpieczne jest MFA”, musimy najpierw przyjrzeć się sposobom, w jakie osoby atakujące próbują ominąć MFA.
Typowe metody używane do obejścia usługi MFA
Hakerzy opracowali różne taktyki obejścia usługi MFA w celu obejścia kontroli uwierzytelniania wieloskładnikowego. Oto przegląd najpopularniejszych metod. Należy zauważyć, że ataki często łączą wiele taktyk, takich jak socjotechnika, phishing i OSINT (wywiad typu open source), aby ominąć mechanizmy obronne MFA.
Wyłudzanie informacji
Wyłudzanie informacjiewoluował od kradzieży haseł do kradzieży pełnych danych uwierzytelniających potrzebnych do obejścia MFA. Na przykład osoby atakujące wykorzystują sfałszowaną witrynę do zbierania zarówno haseł, jak i haseł jednorazowych, jednocześnie przeprowadzając proces logowania w prawdziwej witrynie. Ten rodzaj phishingu jest jednak dość pracochłonny, ponieważ wymaga interakcji między atakującym a ofiarą w czasie rzeczywistym. Coraz częściej phishing, który może ominąć MFA, staje się coraz bardziej zautomatyzowany, z ponad 1200 zestawów narzędzi phishingowych wdrożonych w środowisku naturalnym. Wykorzystują one działania, takie jak kradzież sesyjnych plików cookie i odwrotne serwery proxy, dzięki czemu wszystkie wprowadzone dane uwierzytelniające przechodzą przez serwer atakującego.
Rośnie również liczba ataków phishingowych inicjowanych przez SMS-yinstytucje finansowebyć mocno ukierunkowanym. Znane również jako smishing, wykorzystują one podobne techniki omijania MFA do phishingu opartego na wiadomościach e-mail, ale punktem pochodzenia jest wiadomość tekstowa z rzekomo zaufanego źródła.
Ataki SMS OTP
Mimo że NIST mawycofał się z używania OTPwysyłany SMS-em w ramach MFA, to nadal jeden z najpopularniejszych protokołów ze względu na łatwość implementacji. Dogłębnie zbadaliśmy niepewnośćUsługa MFA, która opiera się na jednorazowych hasłach SMS, zwłaszcza z łatwo dostępnym obejściem MFAzestawy do atakuktóre używają zautomatyzowanej usługi bota do kradzieży kodów OTP. SMS OTP to nie tylko bardzo wadliwy proces,powodując wielomilionowe szkody dla konsumentów i przedsiębiorstw, ale daje również warstwę bezpieczeństwa, która uniemożliwia dążenie do bezpieczniejszego uwierzytelniania.
Akceptacja przypadkowego naciśnięcia
Niektórzy dostawcy usługi MFA wysyłają użytkownikom powiadomienie wypychane za pośrednictwem aplikacji uwierzytelniającej jako drugi czynnik uwierzytelniający, przy czym akceptacja powiadomienia służy jako weryfikacja „coś, co masz”. Jak bezpieczne jest MFA korzystające z tej metody? Jak się okazuje, niezbyt, zwłaszcza jeśli pierwszym czynnikiem jest hasło.Ataki powiadomień push, zwany także „szybkim bombardowaniem MFA”, wykorzystuje zmęczenie push i to, jak mało uwagi wielu z nas poświęca takim powiadomieniom.
Zasadniczo osoba atakująca ma już prawidłową nazwę użytkownika i hasło i loguje się za ich pomocą, aby uruchomić wysyłanie powiadomienia push. Mogą to zrobić w sposób ukierunkowany lub na masową skalę poprzez ataki polegające na upychaniu danych uwierzytelniających. Atakujący wysyła wiele żądań MFA do legalnego urządzenia użytkownika końcowego, dopóki użytkownik ostatecznie nie zaakceptuje uwierzytelnienia, ostatecznie umożliwiając atakującemu uzyskanie dostępu do konta. TheRaport o bezpieczeństwie bez hasła z 2022 rwykazało, że ataki push wzrosły o 33% rok do roku.
Dział pomocy technicznej IT Inżynieria społeczna
W pierwszym etapie tego ataku z obejściem usługi MFA haker podszywa się pod pracownika, aby określić, które protokoły są używane do potwierdzenia żądania zresetowania hasła. Wraz z możliwością ujawnienia informacji, takich jak login ofiary, pozwala to atakującemu dokładnie wiedzieć, jakie dane musi zdobyć, aby zresetować hasło, a następnie przejąć konto. Ten typ ataku jest doskonałym przykładem tego, jak osoby atakujące wyczuwają, jak bezpieczne jest MFA w konkretnej firmie, zanim przeprowadzą ataki ukierunkowane.
Wykorzystywanie często pomijanych usług
Niektóre usługi biurowe i pocztowe, takie jak Gmail, Okta i Microsoft Office 365, są niezwykle rozpowszechnione i niestety dość proste do obejścia przez atakujących. W rezultacie oczekuje się, że większość przedsiębiorstw będzie egzekwować protokoły MFA w ramach tych usług za pomocą NYDFS już nakłada kary na firmy za to, że tego nie robią. Pozostaje jednak pytanie: jak bezpieczne jest MFA, które nadal opiera się na hasłach?
Korzystanie z Robocall
Robocalls odgrywają rolę w wielu oszustwach, w tym w oszustwach używanych do obejścia MFA. Zautomatyzowane usługi hakerskie takich jak SMS Buster i SMSRangerpochwalić się skutecznością sięgającą 80% w nakłanianiu ludzi do podania danych konta, w tym jednorazowych haseł wysyłanych przez usługodawców. Korzystając z stale aktualizowanych szablonów, te automatyczne telefony mogą skutecznie kopiować czyjś bank lub ubezpieczyciela i przekonać ich do przekazania szczegółowych informacji. Przykładem tego w działaniu jest how jedna para z Maryland straciła ponad 100 000 dolarów ze swoich oszczędnościz Coinbase w mniej niż minutę, pomimo obecności MFA.
Ataki typu „man-in-the-middle”.
Wczłowiek w środku (MitM)Atak z obejściem MFA, haker podsłuchuje lub aktywnie przechwytuje komunikację między dwiema stronami; dwóch użytkowników lub, coraz częściej, użytkownika i aplikacji lub serwera. Pozwala im to na kradzież informacji wysyłanych przez użytkownika, takich jak dane logowania, dane konta i numery kart kredytowych. Ataki MitM nasiliły się w ciągu ostatnich kilku lat, a pracownicy zdalni i usługi dostępu stają się coraz większym celem. Ataki typu „man-in-the-middle” są zwykle łączone z innymi technikami ataków w celu ominięcia MFA, takimi jak zestawy phishingowe, które mogą uruchamiaćAtaki MitM w celu kradzieży tokenów MFA.
Wymiana karty SIM
Podobne do ataków na help desk,Wymiana karty SIMwykorzystuje socjotechnikę, aby skłonić dostawców usług do zresetowania czyjegoś konta — w tym przypadku przypisania numeru telefonu komórkowego do nowej karty SIM. Większość szczegółów, które ludzie mają z operatorem komórkowym, można pobrać z rachunku, podczas gdy poważne naruszenia danych, takie jak jeden w T-Mobile, który naruszył 50 milionów kont, podaj atakującym dalsze szczegóły, takie jak kody PIN i hasła. Gdy pomyślnie zamienią Twój numer na kartę SIM, wszelka komunikacja, w tym hasła jednorazowe, zostanie wysłana na ich telefon, co pozwoli im ominąć protokoły MFA.
Jak uniemożliwić hakerom omijanie usługi MFA
Powyższa lista nie jest bynajmniej kompletna, a osoby atakujące stale opracowują nowe strategie obejścia MFA. Prowadzi to wielu do kwestionowania ogólnego bezpieczeństwa MFA, ale prawdziwy nacisk należy położyć na stosowane metody i protokoły uwierzytelniania. Organizacje powinny unikać wszelkich rozwiązań MFA, które mogą zostać wykorzystane przez socjotechnikę lub ataki MiTM w celu kradzieży danych uwierzytelniających lub uzyskania nieautoryzowanego resetowania konta. Niestety,80–90% MSZimplementacje mogą zostać naruszone.
Przedstawiamyodp*rne na phishing MFA, jak ustalił kolOMB w swoich wytycznychdla strategii zerowego zaufania, jest najskuteczniejszym sposobem zabezpieczenia procesów uwierzytelniania przed atakami. Odp*rność na phishing oznacza usunięcie usługi MFA, która wykorzystuje hasła, SMS-y, połączenia głosowe, hasła jednorazowe lub kompromitujące powiadomienia push. Bezhasłowe MFA oparte na standardach FIDO jest określane jako złoty standard uwierzytelniania odp*rnego na phishing przez organizacjęAgencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury(CISA) iOMB.
HYPR: dostarczanie bezpiecznej usługi MFA
Rozwiązanie True Passwordless™ MFA firmy HYPR zostało stworzone specjalnie w celu rozwiązania problemów związanych z możliwym do złamania MFA. Oparta na kryptografii klucza publicznego i zgodna ze standardami FIDO zapewnia, że na żadnym etapie procesu uwierzytelniania nie ma współdzielonych sekretów. HYPR zapewnia bezproblemową podróż uwierzytelniania z komputera stacjonarnego do chmury, łagodząc wiele frustracji związanych z uwierzytelnianiem.
HYPR integruje się również z popularnymi dostawcami tożsamości i jednokrotnego logowania, wzmacniając kontrolę uwierzytelniania bez konieczności niszczenia i wymiany infrastruktury IAM. Aby dowiedzieć się więcej o tym, jak bezhasłowe rozwiązanie HYPR pomaga organizacjom zabezpieczyć ich uwierzytelnianie i dostęp, możesz przeczytaćwięcej tutajLubporozmawiaj z naszym zespołem.
