Fejlesztés
Az MFA (többlépcsős azonosítás) működése elméletileg megakadályozza, hogy a támadók hozzáférjenek egy fiókhoz, még akkor is, ha megszerzik a felhasználó nevét és jelszavát. Az MFA második azonosítási formája a leggyakrabban egy egyszeri jelszó, amelyet SMS-ben vagy e-mailben küldenek a felhasználónak, vagy amelyet egy már beállított hitelesítő alkalmazás generál.
Az „ellenfél a középen” támadás
Ahogy a Cisco Talos csütörtöki jelentésében részletezi, egy teljes ökoszisztéma alakult ki, amely segíti a bűnözőket ezen MFA-formák legyőzésében. Ezt a technikát ellenfél a középen támadásnak nevezik. A bűnözők phishing-as-a-service eszközöket használnak, amelyek online bűnözői fórumokon érhetők el, mint például Tycoon 2FA, Rockstar 2FA, Evilproxy, Greatness és Mamba 2FA.
A támadás folyamata
A támadás úgy kezdődik, hogy a felhasználónak egy üzenetet küldenek, amely arra csábítja, hogy lépjen be a fiókjába, gyakran hamisan állítva, hogy az fiókja kompromittálódott, és azonnali zárolásra van szükség. A hamis üzenet egy linket tartalmaz, amely a valódira hasonlít, de valójában kissé eltér.
Például a valódi Google bejelentkezési link helyett, amely https://accounts.google.com, a link valami ilyesmi: https://accounts.google.com.evilproxy[.]com. A felhasználó gyakran annyira izgul a feltételezett fiókmegsértés miatt, hogy nem veszi észre a hibás URL-t.
A rosszindulatú link az elkövető proxy szerverére vezet, amely a phishing-as-a-service eszközkészletnek köszönhetően pontosan úgy néz ki, mint a valódi Google bejelentkezési oldal (kivéve az URL-t a címablakban). A felhasználó ezután megadja a felhasználónevét és jelszavát, amelyeket a proxy továbbít a valódi Google oldalra.
A kódok sebezhetősége
A probléma az ezekkel a MFA-formákkal az, hogy a kódok maguk is phishing-elhetők, mivel számokból és alkalmanként más karakterekből állnak, amelyeket a támadók éppúgy könnyen lemásolhatnak, mint a jelszavakat. Ez a hatás ugyanúgy érvényes, ha az MFA alapja push értesítések, mivel a felhasználó rákattint a gombra.
WebAuthn mint megoldás
A WebAuthn alapú MFA nagyobb ellenállást mutat az ellenfél a középen támadásokkal szemben. A WebAuthn hitelesítők kriptográfiailag kapcsolódnak az általuk azonosított URL-hez. A WebAuthn alapú hitelesítésnek a felhasználó eszközén kell történnie, így a támadók nem tudják azokat saját eszközükön felhasználni. A phishing egyre komolyabb biztonsági problémát jelent a szervezetek, alkalmazottaik és felhasználóik számára.
Érdekes tény: A WebAuthn standard 2019-es bevezetése óta több ezer webhely kezdte el támogatni, és a felhasználók számára könnyen elérhetővé vált a regisztráció.
Források: Cisco Talos, Getty Images
