Dobre zabezpieczenie dostępu do kont i zasobów stanowi nie lada wyzwanie. To dzięki poświadczeniom możemy zdobyć cenne i wrażliwe dane lub dokonywać zmian w systemach. Ponadto chcielibyśmy, aby uwierzytelniające się osoby były zawsze tymi, za które się podają, a nie kimś, komu udało się wykraść dane logowania. Dlatego poza standardowym sposobem zabezpieczania dostępu, jakim są hasła, w powszechnej praktyce wykorzystywane jest także uwierzytelnianie wieloskładnikowe (z ang. Multi-factor Authentication – MFA). Dzięki zastosowaniu tego mechanizmu, mamy większą pewność, że osoba próbująca dostać się do systemu jest rzeczywiście tą, za którą się podaje.
Metod uwierzytelniania wieloskładnikowego jest mnóstwo. Mogą to być SMS-y, połączenia telefoniczne, powiadomienia z aplikacji, generatory kodów do logowania, a nawet klucze sprzętowe. Pomysłowość włamywaczy nie zna jednak granic, więc i tak znajdują sposoby na to, aby obejść zabezpieczenia MFA. W jaki sposób zatem cyberprzestępcy omijają zabezpieczenia wieloskładnikowe?
Atak Adversary-in-the-Middle (AITM)
Polega na wykorzystaniu przez atakujących imitacji strony internetowej używanej do logowania, która łudząco przypomina tą właściwą. Dzięki niej, adwersarze mogą przechwytywać zarówno hasła, jak również kody uwierzytelniania dwuskładnikowego. Mechanizm ataku opiera się na tym, że użytkownik wpisuje na fałszywej stronie swoje poświadczenia, a atakujący uzupełnia zebranymi danymi formularz logowania na prawdziwej stronie. Dzięki temu, generowana jest prośba o podanie kodu uwierzytelniającego, który ofiara poda z dużym prawdopodobieństwem na spreparowanej stronie. To z kolei pozwala atakującemu przechwycić także kod wymagany do zalogowania, dzięki czemu uzyskuje pełny dostęp do strony docelowej. Technika ta wykorzystywana jest m.in. przez takie grupy jak Storm-1167, które znane są z tworzenia imitacji stron logowania do witryn firmy Microsoft, w celu zbierania danych logowania. Podrabiają oni także strony pobierające kod do uwierzytelniania, dzięki czemu atakujący mogą zdobyć dostęp np. do skrzynek mailowych. To zaś pozwala na podszywanie się pod użytkowników, jak również umożliwia przeprowadzanie skuteczniejszych ataków phishingowych.
MFA prompt bombing
Kolejny rodzaj ataku polega na bombardowaniu powiadomieniami z aplikacji do uwierzytelniania. Po przejęciu hasła użytkownika, atakujący wprowadza jego dane logowania oraz generuje prośbę o kod uwierzytelniający, która wysyłana jest na zweryfikowane urządzenie. Technika ta zakłada, że użytkownik przez pomyłkę uzna powiadomienie za prawdziwe albo zaakceptuje jedno z wielu wygenerowanych, aby zatrzymać falę powiadomień. Ten typ ataku wykorzystywany był m.in. przez grupę 0ktapus, która wyłudziła dane do logowania jednego z kontrahentów aplikacji Uber, poprzez phishing smsowy, a następnie podając się za członka działu bezpieczeństwa aplikacji, nakłoniła do zaakceptowania powiadomienia MFA w aplikacji.
Ataki na Service Desk
Ciekawą wariacją ataku może być próba wykorzystania tzw. inżynierii społecznej na dziale Service Desk danej organizacji. Poprzez chęć zmylenia pracowników oraz rozmowy telefoniczne, adwersarze mogą próbować zresetować hasła do kont, dając im punkt wejścia do systemów organizacji. Techniki tej użyła grupa Scattered Spider, która uzyskała w ten sposób możliwość zalogowania się do sieci firmy i uruchomienia ataku ransomware. Ponadto hakerzy mogą próbować wykorzystać procedury odzyskiwania haseł i urządzeń, aby obejść weryfikację MFA. Przykładem może być wspomniana wcześniej grupa 0ktapus, która próbowała przekonać pracowników Service Desku jednej z firm, że ich telefon nie działa lub został zgubiony. Dzięki temu mogli wykorzystać luki w procedurach, aby link z resetem hasła został wysłany do przejętego urządzenia.
SIM swapping
Ostatnim omawianym tutaj typem ataku, jest zwykła podmiana karty SIM. Do takiej podmiany może dojść zarówno przez kradzież urządzenia i pobranie z niej karty SIM, aby otrzymywać powiadomienia MFA wysyłane drogą SMS, ale także próbę przekonania dostawców usług telekomunikacyjnych do przeniesienia usług wykorzystywanych przez ofiarę, na kartę, która jest pod kontrolą adwersarzy. Dzięki takiemu działaniu cyberprzestępcy mogą przejąć usługi i numer użytkownika, w tym także powiadomienia MFA, uzyskując tym samym nieautoryzowany dostęp do kont. Technika ta była wykorzystywana m.in. przez grupę LAPUS$, która wykorzystywała inżynierię społeczną w celu zdobycia dostępów do systemów swoich ofiar.
Kilka opisanych tutaj taktyk, to tylko wierzchołek góry lodowej, ponieważ istnieje wiele innych technik, które mogą służyć obejściu uwierzytelniania wieloskładnikowego. Oczywistym jest, że MFA znacząco podnosi poziom bezpieczeństwa i stanowi dodatkową barierę przed atakami. Jednak pomimo korzystania z tej techniki zabezpieczeń, nie możemy zapominać o tym, aby nadal używać silnych haseł. Dlaczego? Ponieważ słabo zabezpieczone konta mogą stanowić wstępny punkt wejścia dla hakerów. Natomiast po zdobyciu poświadczeń, atakujący mogą próbować wykorzystać techniki ominięcia uwierzytelniania dwuskładnikowego, aby uzyskać dostęp do chronionych zasobów. Warto mieć także na uwadze, że dobrze zdefiniowane procedury oraz ich przestrzeganie (chociażby te dotyczące resetowania haseł czy konfiguracji urządzeń wykorzystywanych do MFA), może okazać się kluczowe przy obronie naszej organizacji przed atakami wykorzystującymi inżynierię społeczną.
***
Źródło:
