Den AMERIKANSKE Federal Bureau of Investigation (FBI) har sendt i sidste måned en sikkerheds rådgivning til private partnere i branchen om den stigende trussel om angreb mod organisationer og deres medarbejdere, der kan omgå multi-faktor-autentificering (MFA) løsninger.
“FBI har observeret cyber aktører, der omgår multi-faktor-autentificering gennem fælles sociale ingeniør-og tekniske angreb,” FBI skrev i en Privat Industri Anmeldelse (PIN-kode), der sendes ud på September 17.
Tidligere hændelser af MFA omgår
Mens der i dag er flere måder til at omgå MFA beskyttelse, FBI alert specifikt advaret om SIM-swapping, sårbarheder i online sider håndtering af den MAKROFINANSIELLE bistand, og brug af transparente proxyer, som Muraen og NecroBrowser.
For at få det budskab igennem, FBI, der er opført de seneste hændelser, hvor hackere havde brugt disse teknikker til at omgå MFA og stjæle penge fra virksomheder og almindelige brugere. Vi citerer fra rapporten:
I 2016 kunder af en amerikansk bank blev ramt af en cyber-angriber, der porteret deres telefonnumre til en telefon, han ejede-et angreb kaldet SIM-swapping. Angriberen kaldet teleselskaber kundeservice repræsentanter, at finde nogle, der var mere villige til at give ham oplysninger for at afslutte SIM-swap. Når angriberen havde kontrol over kundernes telefonnumre, han opfordrede banken til at anmode om en bankoverførsel fra ofrenes konti til en anden konto, som han ejede. Den bank, der anerkender det telefonnummer, som tilhører kunden, ikke bede om fuld sikkerhed spørgsmål, men anmodede om en engangs-kode, som sendes til telefonnummeret, hvorfra han ringer. Han anmodede også om at ændre pin-koder og adgangskoder og var i stand til at knytte ofre ” kredit kort tal til en mobil betaling.I løbet af 2018 og 2019, FBI ‘ s Internet Crime Complaint Center og FBI offer klager observeret ovenstående angreb-SIM-bytte-som en fælles taktik fra cyber-kriminelle forsøger at omgå to-faktor autentificering. Ofrene for disse angreb har haft deres telefonnumre, der er stjålet, deres bankkonti drænet, og deres passwords og Pinkoder ændres. Mange af disse angreb er afhængige af socialt engineering kundeservice repræsentanter for de store teleselskaber, der giver oplysningerne til fjernangribere.I 2019 en amerikansk bank blev ramt af en cyber-angriber, der var i stand til at drage fordel af en fejl i bankens hjemmeside for at omgå de to-faktor autentificering, der gennemføres for at beskytte konti. De cyber-angriberen er logget ind med stjålne offer legitimationsoplysninger, og når den sekundære side, hvor kunden normalt ville være nødvendigt at indtaste en PIN-kode, og besvare et spørgsmål om sikkerhed, angriberen trådte en manipuleret streng til den WEBADRESSE, indstilling af computeren som en anerkendt på den konto. Dette gav ham mulighed for at omgå PIN-og sikkerhedspolitiske spørgsmål, sider og iværksætte elektroniske overførsler fra ofrenes konti.I februar 2019 en cyber security ekspert på RSA-Konferencen i San Francisco, viste et stort udvalg af ordninger og angreb, cyber aktører kan bruge til at omgå multi-faktor-autentificering. Sikkerheds-ekspert præsenteret real-time eksempler på, hvordan cyber aktører kunne bruge mand-in-the-middle-angreb og kapring af sessionen, for at opsnappe den trafik mellem en bruger og en hjemmeside til at foretage disse angreb, og at opretholde en adgang for så længe som muligt. Han viste også social engineering angreb, herunder phishing eller falske sms-beskeder, der påstås at være en bank eller en anden tjeneste til at medføre en bruger til at logge ind på en falsk hjemmeside, og opgive deres private oplysninger.I juni 2019 Hack-in-the-Box-konferencen i Amsterdam, cyber-sikkerhed eksperter viste et par af værktøjer – Muraena og NecroBrowser – der arbejdede sammen for at automatisere et phishing-ordning mod brugere af multi-faktor-autentificering. Den Muraena af aflytninger trafik mellem en bruger og et mål hjemmeside, hvor de er bedt om at indtaste login-legitimationsoplysninger og en kupon-kode, som sædvanlig. Når godkendt, NecroBrowser gemmer data for ofrene for dette angreb, og kaprer session cookie, der gør, cyber aktører til at logge ind på disse private konti, tage dem over, og ændre adgangskoder og recovery e-mail-adresser, samtidig med at adgangen så længe som muligt.
MFA er stadig effektiv
FBI gjorde det meget klart, at dens alarm bør tages kun som en sikkerhedsforanstaltning, og ikke et angreb på effektiviteten af MFA, som agenturet anbefaler stadig. FBI stadig anbefaler, at virksomheder bruger MFA.
I stedet, FBI ønsker, at brugere af MFA løsninger til at være opmærksom på, at cyber-kriminelle nu har metoder til at omgå en sådan konto beskyttelse.
“Multi-faktor-autentificering fortsætter med at være en stærk og effektiv sikkerhedsforanstaltning for at beskytte online-konti, så længe brugeren tage forholdsregler for at sikre, at de ikke bliver offer for disse angreb,” FBI sagde.
MFA angreb er sjældne
På trods af stigningen i antallet af hændelser og angreb værktøjer i stand til at omgå MFA, disse angreb er stadig utrolig sjælden og er ikke blevet automatiseret i skala. I sidste uge Microsoft udtalte, at-angreb, der kan omgå MFA er så ud over det sædvanlige, at de endnu ikke har statistik på dem.
I modsætning til OS kaffefaciliteter sagde, at når det er aktiveret, MFA hjulpet brugerne blokere 99,9% af alle konto-hacks.
Tilbage i Maj, Google sagde også, at en lignende ting, der hævder, at brugere, der har tilføjet en recovery telefonnummer til deres konti (og indirekte aktiveret SMS-baseret MFA) forbedret deres konto sikkerhed.
“Vores forskning viser, at blot at tilføje et opsving telefonnummer til din Google-Konto, kan blokere op til 100% af automatiserede bots, 99% af bulk phishing-angreb, og 66% af de målrettede angreb, der fandt sted i løbet af vores undersøgelse,” sagde Google på det tidspunkt.
Alt i alt, MFA er stadig meget effektive på at forebygge, at de fleste af masse og automatiserede angreb; men brugerne bør være opmærksom på, at der er måder at omgå nogle MFA løsninger, såsom dem, der er afhængige af SMS-baseret kontrol.
I stedet, brugere bør vælge en stærkere MFA løsning, der ikke er sårbare over for social engineering tricks som SIM-swapping, eller transparente proxyer, der kan opfange MFA-token.
På denne side, Microsoft security engineer analyseret, hvordan forskellige MFA løsninger, der retter sig mod MFA-bypass-angreb. De løsninger, der er anført i bunden af tabellen er den stærkeste.
Sikkerhed
Linux for at få kernen ‘lockdown’ funktion
Googles krig mod deepfakes: Som valget væve, det deler væld af AI-forfalsket videoer
De fleste malspam indeholder en skadelig URL-adresse i disse dage, ikke vedhæftede filer
Ransomware: Hvorfor betale en løsesum er en dårlig idé for alle i det lange løb (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
De fleste Fortune 500 selskaber stadig uigennemsigtige om sikkerhedsforanstaltninger (TechRepublic)
Relaterede Emner:
Regeringen
Sikkerhed-TV
Data Management
CXO
Datacentre