Phishing napadači sada imaju više opcija da zaobiđu višefaktorsku autentifikaciju
Kako usvajanje višefaktorske autentikacije (MFA) raste, napadači se prilagođavaju implementacijom phishing tehnika koje zaobilaze MFA.
Nedavno su istraživači Sophosa opisali kako napadači mogu ukrasti kolačiće sesije kako bi zaobišli MFA. Nakon što napadači uđu u mrežu organizacije, mogu dohvatiti podatke kolačića iz kompromitovanih sistema i koristiti legitimne izvršne datoteke da prikriju zlonamjernu aktivnost. Ovaj pass-the-cookie napad može pružiti vitalne informacije koje se mogu koristiti za programski pristup kompromitovanom korisničkom računu i aplikacijama.
Jednom kada napadači dobiju pristup korporativnim web i cloud resursima pomoću kolačića, mogu ih koristiti za daljnju eksploataciju kao što je kompromitiranje poslovne e-pošte, socijalni inženjering, stjecanje dodatnog pristupa sistemu, pa čak i modificiranje podataka u spremištima izvornog koda.
U praksi, operateri ransomware-a će koristiti standardnu komponentu za prikupljanje kolačića s uređaja korisnika. Sofisticiraniji akteri će zloupotrijebiti legitimne alate za simulaciju napada kao što su Mimikatz, Metasploit Meterpreter i Cobalt Strike kako bi pokrenuli zlonamjerni softver koji prikuplja kolačiće ili pokrenuli skripte koje dohvaćaju kolačiće iz keša pretraživača.
Osim krađe kolačića iz kompromitovanog sistema, postoje načini za krađu kolačića čak i ako napadač nema pristup uređaju. Ova tehnika se obično naziva napad sa protivnikom u sredini (eng. adversary-in-the-middle - AiTM). Kao što je Microsoft već izvijestio, pristup ne uključuje samo lažno predstavljanje originalne stranice ili aplikacije, već i proksiranje zahtjeva i odgovora sa originalne web stranice. Najvažnije je da je korisniku predstavljen originalni MFA obrazac, proksiran direktno sa phishing stranice.
Načini odbrane
Sigurno ćemo vidjeti daljnje inovacije u krađi identiteta, ali važno je napomenuti da postoje načini da se odbranite.
Prvo, obuka podizanja svijesti o sigurnosti (eng. security awareness training) – zaposleni su zapravo novi perimetar za organizaciju i stoga ima smisla ulagati u obuku. Obrazovanje je obično povezano s dugoročnim naporom koji si malo tko može priuštiti. Ali postoje načini da obrazovanje učinite manje nametljivim i automatiziranijim pomoću SAT softvera.
Drugo, inteligentna verifikacija identiteta - korištenje modernog identity-as-a-service rješenja koje može ponuditi detaljna pravila za prijavu i autentikaciju korisnika, posebno oko nepoznatih prijava iz neobičnih zemalja, doba dana, itd. Također, veoma je važna mogućnost pokrivanja većine modernih SaaS rješenja koja se koriste u organizacijama pod istim "kišobranom" inteligentne autentifikacije. Previše organizacija još uvijek ovisi o zastarjelim LDAP-ima i rješenjima za upravljanje identitetima koja ne pokrivaju ni interne, ali ni eksterne (SaaS) aplikacije.
I na kraju, fokus na svaki endopoint je ključan: EDR/XDR ili slična rješenja koja nude operativnu svijest oko endpointova su jedina koja imaju šansu spriječiti zloupotrebu kolačića od strane skripti i nepouzdanih programa, te otkriti zlonamjerni softver za krađu informacija.
