Когда дело доходит до безопасности доступа, одна рекомендация выделяется среди остальных: многофакторная аутентификация (MFA). Поскольку хакерам проще всего использовать только пароли, MFA обеспечивает необходимый уровень защиты от взломов. Однако важно помнить, что MFA не является надежным средством защиты. Его можно обойти, и часто так и происходит.
В случае взлома пароля хакерам, желающим обойти дополнительную защиту MFA, доступно несколько вариантов. Мы рассмотрим четыре тактики социальной инженерии, которые хакеры успешно используют для взлома MFA, и подчеркнем важность наличия надежного пароля как части многоуровневой защиты.
В идеале MFA должна предотвращать эти атаки, требуя дополнительного фактора аутентификации, хакеры могут использовать технику, известную как "передача 2FA". Как только жертва вводит свои учетные данные на поддельном сайте, злоумышленник немедленно вводит те же данные на законном сайте. Это запускает законный запрос MFA, который жертва ожидает и с готовностью одобряет, невольно предоставляя злоумышленнику полный доступ.
Это обычная тактика для групп угроз, таких как Storm-1167, которые известны созданием поддельных страниц аутентификации Microsoft для сбора учетных данных. Они также создают вторую фишинговую страницу, которая имитирует этап MFA процесса входа в Microsoft, предлагая жертве ввести свой код MFA и предоставить злоумышленникам доступ. Оттуда они получают доступ к законной учетной записи электронной почты и могут использовать ее в качестве платформы для многоэтапной фишинг-атаки.
В ходе известного инцидента хакеры из группы 0ktapus скомпрометировали учетные данные для входа в систему сотрудника Uber посредством фишинга SMS, затем продолжили процесс аутентификации с компьютера, который они контролировали, и немедленно запросили код многофакторной аутентификации (MFA). Затем они выдали себя за сотрудника службы безопасности Uber в Slack, убедив подрядчика принять push-уведомление MFA на свой телефон.
Хакеры также пытаются использовать настройки восстановления и процедуры резервного копирования, манипулируя службами поддержки, чтобы обойти MFA. Известно, что 0ktapus прибегают к атаке на службу поддержки организации, если их оперативная атака MFA оказывается безуспешной. Они обратятся в службу поддержки, заявив, что их телефон неработоспособен или утерян, а затем попросят зарегистрировать новое устройство аутентификации MFA, контролируемое злоумышленником. Затем они могут воспользоваться процессом восстановления или резервного копирования организации, отправив ссылку для сброса пароля на скомпрометированное устройство. Обеспокоены пробелами в системе безопасности Service desk? Узнайте, как обезопасить свое устройство.
После инцидента в 2022 году Microsoft опубликовала отчет с подробным описанием тактики, используемой группой угроз LAPSUS$. В отчете объясняется, как LAPSUS $ проводит обширные кампании социальной инженерии для получения первоначальных позиций в целевых организациях. Одним из их излюбленных методов является нацеливание на пользователей с помощью атак с заменой SIM-карт, а также мгновенной бомбардировки MFA и сброса учетных данных цели с помощью социальной инженерии службы поддержки.
Компрометация учетной записи по-прежнему часто начинается со слабых или скомпрометированных паролей. Как только злоумышленник получает действительный пароль, он может переключить свое внимание на обход механизма MFA. Даже надежный пароль не может защитить пользователей, если он был скомпрометирован в результате взлома или повторного использования пароля. И для большинства организаций полное отсутствие пароля не будет практичным вариантом.
С помощью такого инструмента, как Specops Password Policy, вы можете применять надежные политики паролей Active Directory для устранения слабых паролей и непрерывного сканирования паролей на предмет взлома, повторного использования паролей или продажи после фишинг-атаки. Это гарантирует, что MFA служит дополнительным уровнем безопасности, как и предполагалось, а не используется исключительно как надежное решение. Если вам интересно узнать, как политика паролей Specops может соответствовать конкретным потребностям вашей организации, пожалуйста, свяжитесь с нами.
В случае взлома пароля хакерам, желающим обойти дополнительную защиту MFA, доступно несколько вариантов. Мы рассмотрим четыре тактики социальной инженерии, которые хакеры успешно используют для взлома MFA, и подчеркнем важность наличия надежного пароля как части многоуровневой защиты.
1. Атаки типа "Противник посередине" (AITM)
Атаки AITM включают обман пользователей, заставляя их поверить, что они входят в подлинную сеть, приложение или веб-сайт. Но на самом деле они передают свою информацию мошенническому двойнику. Это позволяет хакерам перехватывать пароли и манипулировать мерами безопасности, включая запросы MFA. Например, фишинговое электронное письмо может прийти в почтовый ящик сотрудника, выдавая себя за надежный источник. Нажатие на встроенную ссылку перенаправляет их на поддельный веб-сайт, где хакеры собирают их учетные данные для входа.В идеале MFA должна предотвращать эти атаки, требуя дополнительного фактора аутентификации, хакеры могут использовать технику, известную как "передача 2FA". Как только жертва вводит свои учетные данные на поддельном сайте, злоумышленник немедленно вводит те же данные на законном сайте. Это запускает законный запрос MFA, который жертва ожидает и с готовностью одобряет, невольно предоставляя злоумышленнику полный доступ.
Это обычная тактика для групп угроз, таких как Storm-1167, которые известны созданием поддельных страниц аутентификации Microsoft для сбора учетных данных. Они также создают вторую фишинговую страницу, которая имитирует этап MFA процесса входа в Microsoft, предлагая жертве ввести свой код MFA и предоставить злоумышленникам доступ. Оттуда они получают доступ к законной учетной записи электронной почты и могут использовать ее в качестве платформы для многоэтапной фишинг-атаки.
2. Оперативная бомбардировка MFA
Эта тактика использует функцию push-уведомлений в современных приложениях для аутентификации. После компрометации пароля злоумышленники пытаются войти в систему, что отправляет запрос MFA на устройство законного пользователя. Они полагаются на то, что пользователь либо примет это за подлинное приглашение и примет его, либо разочаруется постоянными приглашениями и примет одно, чтобы остановить уведомления. Этот метод, известный как оперативная бомбардировка MFA, представляет значительную угрозу.В ходе известного инцидента хакеры из группы 0ktapus скомпрометировали учетные данные для входа в систему сотрудника Uber посредством фишинга SMS, затем продолжили процесс аутентификации с компьютера, который они контролировали, и немедленно запросили код многофакторной аутентификации (MFA). Затем они выдали себя за сотрудника службы безопасности Uber в Slack, убедив подрядчика принять push-уведомление MFA на свой телефон.
3. Атаки службы поддержки
Злоумышленники обманом заставляют службы поддержки обходить MFA, симулируя забвение пароля и получая доступ с помощью телефонных звонков. Если агенты Service desk не в состоянии обеспечить соблюдение надлежащих процедур проверки, они могут неосознанно предоставить хакерам начальную точку входа в среду своей организации. Недавним примером стала атака MGM Resorts, когда хакерская группа Spidered Spider обманным путем связалась со службой поддержки для сброса пароля, что дало им возможность войти в систему и запустить атаку программ-вымогателей.Хакеры также пытаются использовать настройки восстановления и процедуры резервного копирования, манипулируя службами поддержки, чтобы обойти MFA. Известно, что 0ktapus прибегают к атаке на службу поддержки организации, если их оперативная атака MFA оказывается безуспешной. Они обратятся в службу поддержки, заявив, что их телефон неработоспособен или утерян, а затем попросят зарегистрировать новое устройство аутентификации MFA, контролируемое злоумышленником. Затем они могут воспользоваться процессом восстановления или резервного копирования организации, отправив ссылку для сброса пароля на скомпрометированное устройство. Обеспокоены пробелами в системе безопасности Service desk? Узнайте, как обезопасить свое устройство.
4. Замена SIM-карты
Киберпреступники понимают, что MFA часто полагается на мобильные телефоны как средство аутентификации. Они могут воспользоваться этим с помощью техники, называемой "обмен SIM-картами", когда хакеры обманом заставляют поставщиков услуг переводить услуги цели на SIM-карту, находящуюся под их контролем. Затем они могут эффективно перехватить сотовую связь и номер телефона цели, позволяя им перехватывать запросы MFA и получать несанкционированный доступ к учетным записям.После инцидента в 2022 году Microsoft опубликовала отчет с подробным описанием тактики, используемой группой угроз LAPSUS$. В отчете объясняется, как LAPSUS $ проводит обширные кампании социальной инженерии для получения первоначальных позиций в целевых организациях. Одним из их излюбленных методов является нацеливание на пользователей с помощью атак с заменой SIM-карт, а также мгновенной бомбардировки MFA и сброса учетных данных цели с помощью социальной инженерии службы поддержки.
Вы не можете полностью полагаться на MFA – безопасность паролей по-прежнему имеет значение
Это был не единственный список способов обхода MFA. Существует также несколько других способов, включая компрометацию конечных точек, экспорт сгенерированных токенов, использование единого входа и поиск неисправленных технических недостатков. Очевидно, что установка MFA не означает, что организации могут полностью забыть о защите паролей.Компрометация учетной записи по-прежнему часто начинается со слабых или скомпрометированных паролей. Как только злоумышленник получает действительный пароль, он может переключить свое внимание на обход механизма MFA. Даже надежный пароль не может защитить пользователей, если он был скомпрометирован в результате взлома или повторного использования пароля. И для большинства организаций полное отсутствие пароля не будет практичным вариантом.
С помощью такого инструмента, как Specops Password Policy, вы можете применять надежные политики паролей Active Directory для устранения слабых паролей и непрерывного сканирования паролей на предмет взлома, повторного использования паролей или продажи после фишинг-атаки. Это гарантирует, что MFA служит дополнительным уровнем безопасности, как и предполагалось, а не используется исключительно как надежное решение. Если вам интересно узнать, как политика паролей Specops может соответствовать конкретным потребностям вашей организации, пожалуйста, свяжитесь с нами.
