Den AMERIKANSKA centralbanken, Federal Bureau of Investigation (FBI) har skickat den senaste månaden ett säkerhetsmeddelande för det privata näringslivet partners över det växande hotet om attacker mot organisationer och deras anställda som kan kringgå multi-faktor autentisering (MFA) lösningar.
“FBI har observerats it-aktörer att kringgå multi-faktor autentisering genom gemensamma social ingenjörskonst och tekniska attacker,” FBI skrev i en Privat Industri Anmälan (PIN-kod) som skickades ut den 17 September.
Tidigare händelser av MFA förbi
Nuförtiden finns det flera olika sätt att kringgå MFA skydd, FBI alert speciellt varnat för SIM-swapping, sårbarheter i online sidor hantering av MAKROEKONOMISKA insatser och användningen av öppna proxies som Muraen och NecroBrowser.
För att få den punkten över, FBI anges den senaste tidens incidenter där hackare hade använt sig av dessa metoder för att kringgå MFA och stjäla pengar från företag och vanliga användare. Vi citerar ur rapporten:
I och med 2016 kunder på en amerikansk bank var måltavla för en cyber angripare som behållit sitt telefonnummer till en telefon han ägde-en attack som kallas SIM-swapping. Angriparen kallade telefonen företagens kundtjänst, hitta några som var mer villiga att ge honom information för att slutföra SIM-swap. När angriparen hade kontroll över kundernas telefonnummer, kallade han till banken för att begära en elektronisk överföring från offren konto till ett annat konto som han ägde. Banken, som erkänner de telefonnummer som tillhör kunden, inte fråga för full säkerhet frågor men har begärt en engångskod som skickas till det telefonnummer från vilket han ringa. Han har också begärt att ändra koder och lösenord och kunde bifoga offrens kreditkort nummer till en mobil ansökan om utbetalning.Under 2018 och 2019, FBI: s Internet Crime Complaint Center och FBI offer klagomål konstaterade ovan attack-SIM-byta-som en vanlig taktik från cyber brottslingar som försöker kringgå två-faktor autentisering. Offer för dessa attacker har haft sitt telefonnummer stulna, deras bankkonton tömda och deras lösenord och Stift förändrats. Många av dessa attacker förlita sig på socialt engineering kundtjänst för stora telebolagen, som ger information till angriparna.2019 en amerikansk bank var måltavla för en cyber angripare kan ta fördel av ett fel i bankens hemsida för att kringgå de två-faktor autentisering genomförs för att skydda konton. Cyber angripare inloggad med stulna offer referenser och, när den når den sekundära sidan där kunden skulle normalt måste du ange en PIN-kod och svara på en säkerhetsfråga, angriparen in en manipulerad sträng till Webb-URL inställning datorn som ett erkänt på kontot. Detta tillät honom att förbigå PIN-kod och säkerhet frågan sidor och inleda överföringar från offrens bankkonton.I februari 2019 en it-säkerhetsexpert på RSA-Konferensen i San Francisco, har visat att en stor mängd system och cyber-attacker aktörer kan använda för att kringgå multi-faktor autentisering. Security expert som presenteras i realtid exempel på hur it-aktörer kan använda man-in-the-middle-attacker och sessionskapning att avlyssna trafiken mellan en användare och en webbplats för att genomföra dessa attacker och behålla åtkomsten så länge som möjligt. Han visade också social engineering attacker, inklusive nätfiske eller falska sms-meddelanden som utger sig för att vara en bank eller en annan tjänst för att orsaka en användare att logga in på en falsk webbplats och ge upp sin privata information.I juni 2019 Hack-i-the-Box-konferensen i Amsterdam, experter på it-säkerhet visat ett par verktyg – Muraena och NecroBrowser – som arbetat sida vid sida för att automatisera en phishing mot användare av multi-faktor autentisering. Den Muraena verktyg som fångar upp trafik mellan en användare och ett mål webbsida där de ombeds att ange inloggningsuppgifter och en symbolisk kod som vanligt. När autentiserade, NecroBrowser lagrar data för offren för attacken och kapar den session-cookie, så att it-aktörer för att logga in på dessa privata konton, ta dem över och ändra användarens lösenord och återställning e-postadresser samtidigt som tillgång så länge som möjligt.
MFA är fortfarande effektiv
FBI har gjort det mycket klart att dess registrering bör tas endast som en försiktighetsåtgärd, och inte ett angrepp på effektiviteten av MFA, som myndigheten fortfarande rekommenderar. FBI fortfarande rekommenderar att företag använder UD.
Istället FBI vill att användarna av MFA-lösningar att vara medveten om att it-brottslingarna nu har sätt runt om sådant konto skydd.
“Multi-faktor autentisering fortsätter att vara en stark och effektiv säkerhetsåtgärd för att skydda online-konton, så länge som användare vidtar försiktighetsåtgärder för att säkerställa att de inte faller offer för dessa attacker,” FBI sade.
MFA-attacker är ovanliga
Trots ökningen i antalet incidenter och angrepp verktyg som kan kringgå MFA, dessa attacker är fortfarande otroligt sällsynt och har inte moderniserats på skalan. Förra veckan, sade Microsoft att attacker som kan kringgå MFA är så utöver det vanliga, att de inte ens har någon statistik på dem.
I motsats, OS tekokare sade att när den är aktiverad, UD hjälpt användarna att blockera 99,9% av alla konto hacka.
Tillbaka i Maj, Google säger också en liknande sak, som hävdar att användare som lagt till en återhämtning telefonnummer till deras konton (och indirekt aktiverat SMS-baserade MFA) förbättrade sitt konto säkerhet.
“Vår forskning visar att helt enkelt lägga till en återhämtning telefonnummer till ditt Google-Konto kan blockera upp till 100% av automatiserade robotar, 99% av bulk phishing-attacker, och 66% av riktade angrepp som inträffat under vår undersökning,” säger Google på den tiden.
Alla i alla MFA är fortfarande mycket effektiv på att förebygga de flesta massa-och automatiserade attacker, men användare bör vara medvetna om att det finns sätt att kringgå vissa UD-lösningar, som de förlitar sig på SMS-baserade kontroller.
Istället användare bör välja en starkare MFA lösning som inte är utsatta för social ingenjörskonst tricks som SIM byta, eller öppna proxyservrar som kan avlyssna MFA-token.
På den här sidan, en Microsoft security ingenjör analyserat hur olika MAKROEKONOMISKA lösningar klara sig mot MFA-bypass-attacker. De lösningar som anges längst ned i tabellen är de starkaste.
Säkerhet
Linux för att få kärnan ” fel ” – funktionen
Googles krig mot deepfakes: val vävstolar, det aktier massor av AI-fejkade videos
De flesta malspam innehåller en skadlig URL dessa dagar, inte bifogade filer
Ransomware: Varför betala lösen är en dålig idé för alla i det långa loppet (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
De flesta Fortune 500-företag fortfarande otydlig om säkerhetsåtgärder (TechRepublic)
Relaterade Ämnen:
Regeringen
Säkerhet-TV
Hantering Av Data
CXO
Datacenter