4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

by | Úno 21, 2024 | Bezpečná domácnost, Bezpečná firma, Cybernews, navody, Nejnovější | 0 comments

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

V případě prozrazení hesla mají hackeři, kteří chtějí obejít dodatečnou ochranu MFA, k dispozici několik možností. Prozkoumáme čtyři taktiky sociálního inženýrství, které hackeři úspěšně používají k prolomení MFA, a zdůrazníme, že je důležité mít silné heslo jako součást vrstev ochrany.

 Útoky typu Adversary-in-the-middle (AITM)

Útoky AITM spočívají v oklamání uživatelů, aby se domnívali, že se přihlašují do skutečné sítě, aplikace nebo webové stránky. Ve skutečnosti však předávají své informace podvodnému dvojníkovi. To umožňuje hackerům zachytit hesla a manipulovat s bezpečnostními opatřeními, včetně výzev MFA. Do e-mailové schránky zaměstnance může například přijít spear-phishingový e-mail, který se tváří jako důvěryhodný zdroj. Kliknutím na vložený odkaz je přesměruje na falešnou webovou stránku, kde hackeři shromáždí jejich přihlašovací údaje.

Ačkoli by MFA mělo v ideálním případě těmto útokům zabránit tím, že vyžaduje další ověřovací faktor, hackeři mohou použít techniku známou jako “2FA pass-on”. Jakmile oběť zadá své přihlašovací údaje na falešné stránce, útočník okamžitě zadá stejné údaje na legitimní stránce. To vyvolá legitimní požadavek MFA, který oběť očekává a ochotně schválí, čímž nevědomky poskytne útočníkovi úplný přístup.

Jedná se o běžnou taktiku hrozeb skupin, jako je Storm-1167, které jsou známé tím, že vytvářejí falešné ověřovací stránky společnosti Microsoft, aby získaly přihlašovací údaje. Vytvářejí také druhou podvodnou stránku, která napodobuje krok MFA v přihlašovacím procesu společnosti Microsoft a vyzývá oběť, aby zadala svůj kód MFA a udělila útočníkům přístup. Odtud získají přístup k legitimnímu e-mailovému účtu a mohou jej použít jako platformu pro vícestupňový phishingový útok.

Bombardování výzvou MFA

Tato taktika využívá funkci push notifikace v moderních autentizačních aplikacích. Po kompromitaci hesla se útočníci pokusí o přihlášení, které odešle výzvu MFA na zařízení legitimního uživatele. Spoléhají na to, že si ji uživatel buď splete se skutečnou výzvou a přijme ji, nebo bude frustrován neustálými výzvami a přijme jednu, která oznámení zastaví. Tato technika, známá jako bombardování výzvami MFA, představuje významnou hrozbu.

Při pozoruhodném incidentu hackeři ze skupiny 0ktapus kompromitovali přihlašovací údaje smluvního partnera společnosti Uber prostřednictvím SMS phishingu, poté pokračovali v procesu ověřování ze zařízení, které ovládali, a okamžitě si vyžádali kód vícefaktorového ověřování (MFA). Poté se vydávali za člena bezpečnostního týmu Uberu na Slacku a přesvědčili smluvního partnera, aby přijal oznámení MFA push na svém telefonu.

Útoky na oddělení služeb

Útočníci oklamou pracovníky helpdesku, aby obešli MFA tím, že předstírají zapomenutí hesla a získají přístup prostřednictvím telefonních hovorů. Pokud pracovníci oddělení služeb neprosazují správné ověřovací postupy, mohou nevědomky umožnit hackerům prvotní vstup do prostředí organizace. Nedávným příkladem byl útok na společnost MGM Resorts, kdy hackerská skupina Scattered Spider podvodně kontaktovala servisní oddělení s žádostí o reset hesla, čímž získala oporu pro přihlášení a spuštění ransomwarového útoku.

Hackeři se také snaží zneužít nastavení obnovy a zálohovacích postupů tím, že manipulují se servisními pracovišti, aby obešli MFA. Je známo, že 0ktapus se uchýlí k útoku na servisní oddělení organizace, pokud se jejich bombardování výzvou MFA ukáže jako neúspěšné. Kontaktují servisní oddělení s tvrzením, že telefon je nefunkční nebo ztracený, a poté požádají o registraci nového, útočníkem ovládaného autentizačního zařízení MFA. Poté mohou zneužít proces obnovy nebo zálohování organizace tím, že si nechají na napadené zařízení zaslat odkaz pro obnovení hesla. Obáváte se nedostatků v zabezpečení oddělení služeb? Přečtěte si, jak zabezpečit ten svůj.

  1. Výměna SIM karty

Kyberzločinci chápou, že MFA se často spoléhá na mobilní telefony jako na prostředek ověřování. Toho mohou využít pomocí techniky zvané “výměna SIM”, kdy hackeři oklamou poskytovatele služeb a přimějí cíl přenést jeho služby na SIM kartu, kterou mají pod kontrolou. Pak mohou účinně převzít mobilní služby a telefonní číslo cíle, což jim umožní zachytit výzvy MFA a získat neoprávněný přístup k účtům.

Po incidentu v roce 2022 zveřejnila společnost Microsoft zprávu s podrobnými informacemi o taktice používané skupinou hrozeb LAPSUS$. Zpráva vysvětlovala, jak se LAPSUS$ věnuje rozsáhlým kampaním sociálního inženýrství, aby získala počáteční oporu v cílových organizacích. Jednou z jejich oblíbených technik je cílení na uživatele pomocí útoků na výměnu SIM karet spolu s bombardováním výzev MFA a resetováním přístupových údajů cíle prostřednictvím sociálního inženýrství na odděleních technické podpory.

Na MFA se nelze plně spolehnout – na zabezpečení hesla stále záleží

Toto nebyl výlučný seznam způsobů, jak obejít MFA. Existuje i několik dalších způsobů, včetně kompromitace koncových bodů, exportu vygenerovaných tokenů, zneužití SSO a nalezení neopravených technických nedostatků. Je jasné, že nastavení MFA neznamená, že organizace mohou na zabezpečení hesel zcela zapomenout.

Kompromitace účtů stále často začíná slabými nebo kompromitovanými hesly. Jakmile útočník získá platné heslo, může se zaměřit na obcházení mechanismu MFA. Ani silné heslo nemůže uživatele ochránit, pokud bylo prolomeno v důsledku narušení nebo opakovaného použití hesla. A pro většinu organizací nebude úplné odstranění hesla praktickou možností.

S nástrojem, jako je Specops Password Policy, můžete prosadit robustní zásady hesel Active Directory, abyste eliminovali slabá hesla a průběžně kontrolovali, zda nejsou kompromitována hesla v důsledku narušení, opakovaného použití hesla nebo prodeje po phishingovém útoku. Tím je zajištěno, že MFA slouží jako další vrstva zabezpečení, jak bylo zamýšleno, a nespoléhá se pouze na zázračná řešení.

Jakub Drábek, redakce Cyberblog Zdroj: Wired, Foto: Unsplash
0 Comments
Submit a Comment
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.