Il Federal Bureau of Investigation (FBI) ha inviato il mese scorso un avviso di sicurezza per l’industria privata propri partner, circa la crescente minaccia di attacchi contro le aziende e i loro dipendenti in grado di bypassare l’autenticazione multi-factor (MFA) soluzioni.
“L’FBI ha osservato cyber attori eludere autenticazione multi-fattore comune di social engineering tecnici e gli attacchi,” l’FBI ha scritto in una Industria Privata di Notifica (PIN) inviata il 17 settembre.
Gli episodi del passato di MFA ignora
Mentre al giorno d’oggi ci sono diversi modi per bypassare MFA protezioni, l’allarme dell’FBI specificamente avvertito SIM swapping, vulnerabilità nelle pagine online di movimentazione MFA operazioni, e l’uso di proxy trasparente come Muraen e NecroBrowser.
Per ottenere il punto attraverso, l’FBI elencati i recenti incidenti in cui gli hacker aveva usato queste tecniche per bypassare il MAE e rubare i soldi da aziende e utenti normali turisti. Citiamo dalla relazione:
Nel 2016 i clienti di un istituto di credito che sono state prese di mira dai cyber hacker che portato i loro numeri di telefono a un telefono che aveva-un attacco chiamato SIM swapping. L’attaccante chiamato a telefono delle aziende rappresentanti del servizio clienti, trovare alcuni che sono più disposti a fornire informazioni per completare la SIM di swap. Una volta che l’aggressore aveva il controllo sui clienti i numeri di telefono, ha chiamato la banca per richiedere un bonifico su conti delle vittime a un altro account di sua proprietà. La banca, riconoscendo il numero di telefono come appartenenti al cliente, non ha chiesto di protezione è pieno di domande, ma hanno richiesto una sola volta il codice inviato al numero di telefono da cui si chiama. Egli ha anche chiesto di cambiare Pin e password, ed è stato in grado di collegare le vittime numeri di carta di credito per un pagamento mobile application.Nel corso del 2018 e 2019, l’FBI Internet Crime Complaint Center e FBI vittima reclami osservate sopra l’attacco del SIM di scambio-come una tattica comune da cyber criminali che cercano di aggirare l’autenticazione a due fattori. Le vittime di questi attacchi hanno avuto i loro numeri di telefono rubato, i loro conti in banca prosciugato, e la loro password e Pin cambiato. Molti di questi attacchi si basano su socialmente ingegneria rappresentanti del servizio clienti per telefono importanti aziende, che danno informazioni agli hacker.Nel 2019 un istituto bancario stato preso di mira da un cyber hacker che è stato in grado di sfruttare una falla nel sito web della banca per aggirare l’autenticazione a due fattori attuate per proteggere i conti. Cyber hacker connessi con la vittima di furto di credenziali e, quando si raggiunge la pagina secondaria, in cui il cliente sarebbe normalmente necessario immettere un codice PIN e rispondere a una domanda di sicurezza, l’aggressore è entrato in una manipolato stringa per il Web (URL impostazione del computer come quello riconosciuto sul conto. Questo ha permesso di bypassare il PIN di sicurezza e pagine di domande e di avviare i bonifici dai conti delle vittime.Nel febbraio del 2019 un cyber esperto di sicurezza presso la RSA Conference di San Francisco, ha dimostrato una grande varietà di schemi e attacchi informatici, gli attori hanno potuto utilizzare per aggirare l’autenticazione multi-factor. L’esperto di sicurezza presentato in tempo reale esempi di come cyber, gli attori hanno potuto utilizzare man-in-the-middle attacchi e il dirottamento di sessione per intercettare il traffico tra un utente e un sito web per condurre questi attacchi e mantenere un accesso il più a lungo possibile. Egli ha anche dimostrato di attacchi di social engineering, compresi gli schemi di phishing o fraudolenti messaggi di testo che pretende di essere una banca o di altro servizio a causa di un utente, per accedere a un sito web falso, e dare loro informazioni private.A giugno 2019 Hack-in-the-Box conferenza di Amsterdam, gli esperti di sicurezza informatica hanno dimostrato un paio di strumenti – Muraena e NecroBrowser – che hanno lavorato in tandem per automatizzare uno schema di phishing contro gli utenti di autenticazione multi-factor. La Muraena intercetta il traffico tra un utente e un sito web di destinazione dove viene richiesto di inserire le credenziali di accesso e un codice di token come al solito. Una volta autenticato, NecroBrowser memorizza i dati per le vittime di questo attacco e dirotta il cookie di sessione, permettendo cyber attori per accedere a questi conti privati, li prendere il sopravvento, e cambiare la password di un utente e di recupero di indirizzi di posta elettronica, pur mantenendo l’accesso quanto più a lungo possibile.
MFA è ancora efficace
L’FBI ha reso molto chiaro che il suo avviso dovrebbe essere presa solo come precauzione, e non un attacco sull’efficienza del MAE, che l’agenzia consiglia ancora. L’FBI ancora consiglia alle aziende di utilizzare MFA.
Invece, l’FBI vuole che gli utenti di MFA soluzioni di essere a conoscenza che i cyber-criminali hanno ora i modi per aggirare il conto protezioni.
“L’autenticazione Multi-factor continua ad essere un forte ed efficace misura di sicurezza per proteggere i conti on-line, fintanto che gli utenti di prendere precauzioni per assicurarsi di non cadere vittima di questi attacchi,” l’FBI ha detto.
MFA attacchi sono rari
Nonostante l’aumento del numero di incidenti e di strumenti di attacco in grado di bypassare il MAE, questi attacchi sono ancora incredibilmente raro e non è stato automatizzato su larga scala. La scorsa settimana, Microsoft ha detto che gli attacchi che possono ignorare MFA sono così fuori dell’ordinario, che non hanno nemmeno le statistiche su di loro.
In contrasto, il sistema operativo maker ha detto che, quando attivato, il MAE ha aiutato gli utenti a bloccare il 99,9% di tutti gli account hack.
In Maggio, Google ha anche detto una cosa simile, sostenendo che gli utenti che aggiunto il numero di cellulare per i loro conti (e indirettamente attivato SMS MFA), hanno migliorato la loro sicurezza dell’account.
“La nostra ricerca dimostra che la semplice aggiunta di un recupero del numero di telefono al tuo Account Google in grado di bloccare fino al 100% dei bot automatici, il 99% della massa attacchi di phishing, e il 66% di attacchi mirati che si è verificato durante la nostra ricerca,” Google ha detto al momento.
Tutto in tutti, MFA è ancora molto efficaci nel prevenire la maggior parte di massa e attacchi automatizzati; tuttavia, gli utenti dovrebbero essere consapevoli del fatto che ci sono modi per aggirare alcuni MFA soluzioni, come quelle che si basano su SMS a base di verifiche.
Invece, gli utenti devono scegliere un più forte MFA soluzione che non è vulnerabile agli attacchi di ingegneria sociale trucchi come SIM di scambio, o il proxy trasparente in grado di intercettare i MFA token.
Su questa pagina, Microsoft security engineer analizzato come i vari MFA soluzioni tariffa contro MFA-bypass attacchi. Le soluzioni elencate in fondo alla tabella, sono il più forte.
Sicurezza
Linux per ottenere kernel ‘lockdown’ caratteristica
Google di guerra di deepfakes: Come elezione telai, condivide tonnellata di AI-finto video
La maggior parte malspam contiene un URL maligno in questi giorni, non di file allegati
Ransomware: Perché pagare il riscatto è una cattiva idea per tutti nel lungo periodo (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Maggior parte delle aziende Fortune 500 ancora opachi sulle misure di sicurezza (TechRepublic)
Argomenti Correlati:
Governo
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati