Долгие годы нам рассказывали о том, что многофакторная аутентификация (MFA) – надежное средство против захвата учетных записей. И действительно: несмотря на то, что киберпреступники постоянно развивали свои навыки социальной инженерии, MFA была неким барьером между обманутым пользователем и успешной фишинговой атакой. Однако злоумышленники стремятся пробить и эту броню.
Сегодня эксперты по кибербезопасности «Информзащиты» наблюдают сдвиги в ландшафте угроз, вызванного широким внедрением многофакторной аутентификации. Мошенники активно пытаются использовать слабые места MFA — от простого наводнения пользователей предупреждениями о запросах аутентификации до более сложных фишинговых наборов, которые компрометируют токены аутентификации.
Преступники нацелились на MFA, так как поняли, что красть учетные записи и входить систему – эффективнее и дешевле, чем взламывать технические средства управления. Получая обманом данные доступа только от одного сотрудника компании, злоумышленники продолжают атаку, чтобы выкрасть еще больше учетных данных. После они компрометируют серверы и конечные точки и загружают конфиденциальную информацию. Имея в руках такие козыри, им легкостью удастся превратить одну скомпрометированную личность в инцидент вымогателя или утечку данных в масштабах всей организации.
При этом многофакторная аутентификация пока что остается необходимым превентивным средством защиты от атак на учетные записи. Но бизнес должен понимать, что простой реализации MFA уже недостаточно. Чтобы как можно быстрее обнаруживать скомпрометированных пользователей, киберспециалисты рекомендуют учитывать детективные средства контроля, которые имеются в арсенале служб ИБ организаций.
Код по SMS – не панацея
Многофакторная аутентификация помогает уменьшить поверхность атак, добавляя еще один уровень безопасности учетной записи. Тем не менее, судя по новым уязвимостям, сама по себе MFA не является гарантом надежной защиты. В «Информзащите» называют два аспекта, которые следует учитывать компаниям, а именно: как сотрудник получает вторичный метод проверки подлинности, и насколько легко его может заполучить злоумышленник.
Один из основных вторичных методов проверки подлинности – одноразовые коды, отправленные по SMS. Однако специалисты считают его ненадежным, потому что преступники могут легко перехватить и подделать сообщения. Например, мошенники используют «угон» SIM-карт, получая контроль над номером телефона пользователя и выдавая себя за него. Таким образом у них появляется возможность заполучить любые коды двухфакторной аутентификации, отправленные по SMS.
Еще один метод проверки подлинности – электронная почта. Однако, эксперты считают, что он еще менее безопасен – пользователь становится еще более уязвимым, так как его электронная почта скорее всего будет скомпрометирована.
По мнению киберспециалистов, лучшим вариантом является использование аутентификаторов, установленных на устройстве пользователя и используемых для подтверждения его личности. Аутентификаторы отображают PIN-коды, которые можно вводить в систему аутентификации. Но и это все при желании можно обойти с помощью социальной инженерии, отмечают эксперты «Информзащиты».
MFA и социальная инженерия
Как и с большинством кибератак, в основе успешного выкачивания токенов MFA пользователей лежит социальная инженерия. Но как же преступник может получить токен MFA пользователя, если тот находится на мобильном устройстве или в приложении? Например, злоумышленники эксплуатируют тот факт, что многие поставщики многофакторной аутентификации позволяют пользователям принимать push-уведомления. В итоге мошенники атакуют своих жертв пушами MFA с огромной скоростью, чтобы те в конце концов одобрили попытку входа в системы, дабы остановить бесконечные оповещения.
С каждым днем преступники придумывают все более сложные схемы для обходных атак многофакторной аутентификации. Сегодня они также применяют специальные инструменты – фишинговые наборы, которые обходят MFA при помощи кражи сеансовых файлов cookie. Беспокойство экспертов вызывает то, что эти фишинговые наборы в последнее время очень быстро распространяются среди злоумышленников.
Блокировка обхода
Несмотря на упорные попытки мошенников обойти многофакторную аутентификацию, она все еще остается важным превентивным средством от захвата учетных записей. Компаниям, которые внедрили MFA, удается предотвращать многочисленные кибератаки и сохранять в безопасности учетные данные. Но что же стоит предпринять бизнесу, чтобы он и дальше мог эффективно пользоваться многофакторной аутентификацией?
Как известно, большинство фишинговых атак начинается с электронной почты и направлено на то, чтобы пользователь передал учетные данные и доступ к корпоративным ресурсам. В связи с этим сотрудникам нужно блокировать угрозы с помощью этой же самой электронной почты, которая способна обнаруживать вредоносные URL-адреса
Компаниям рекомендуется удалить то, что нужно злоумышленникам для совершения преступления: привилегированный доступ к учетным записям. К слову, за рубежом сейчас развивается новая категория безопасности – Identity Threat Detection and Response (обнаружение и реагирование на угрозы идентификации). ITDR отличается от систем защиты удостоверений тем, что фокусируется на защите учетных данных, привилегий, облачных прав и систем, которые ими управляют.
Также организациям необходимо защищать данные с помощью решений следующего поколения для предотвращения потери данных (DLP), которые предупреждают попадание конфиденциальной информации в чужие руки.
Наконец, как и во всех угрозах, решающее значение имеет слаженная работа людей, процессов и технологий. Поэтому службы ИБ компаний должны убедиться, что они повышают осведомленность своих сотрудников об опасностях обхода MFA и помогают коллегам выявлять незаконные оповещения.