Phishing napadači sada imaju više opcija za zaobilaženje višefaktorske autentikacije
Kako usvajanje multifaktorske provjere autentičnosti (MFA) raste, napadači se prilagođavaju implementacijom tehnika krađe identiteta koje zaobilaze MFA.
Nedavno su istraživači Sophosa opisali kako napadači mogu ukrasti sesijske kolačiće kako bi zaobišli MFA. Jednom kad su napadači ušli u mrežu organizacije, oni mogu bilježiti podatke o kolačićima iz kompromitiranih sustava i koristiti legitimne izvršne datoteke za prikrivanje zlonamjerne aktivnosti. Ovaj tzv. napad prijenosa kolačića (eng. pass-the-cookie attack) može dati vitalne informacije koje se mogu koristiti za programski pristup računu i aplikacijama kompromitiranog korisnika.
Nakon što napadači dobiju pristup korporativnim web resursima i resursima u cloudu koristeći kolačiće, mogu ih koristiti za daljnje iskorištavanje kao što je kompromitacija poslovne e-pošte, socijalni inženjering, za dobivanje dodatnog pristupa sustavu, pa čak i modificiranje podataka ili repozitorija izvornog koda.
U praksi, operateri ransomwarea koristit će standardnu komponentu zlonamjernog softvera za prikupljanje kolačića s korisničkog uređaja. Sofisticiraniji akteri zloupotrijebit će legitimne sigurnosne alate za simulaciju napda kao što su Mimikatz, Metasploit Meterpreter i Cobalt Strike kako bi pokrenuli zlonamjerni softver koji prikuplja kolačiće ili pokrenuli skripte koje bilježe kolačiće iz cache-a preglednika.
Osim krađe kolačića iz kompromitiranog sustava, postoje načini za krađu kolačića čak i ako napadač nema pristup na samom uređaju. Ova se tehnika obično naziva adversary-in-the-middle (AiTM) phishing. Kao što smo već pisali, Microsoft je na svom blogu obradio napad gdje napadač ne oponaša samo izgled originalne stranice kako bi zavarao korisnika, već i posreduje zahtjevima (eng. proxy) kako bi se dobili kolačići MFA sesije. Korisniku se prikazuje izvorni MFA obrazac, proksiran izravno s originalne web aplikacije.
Načini obrane
Zasigurno ćemo vidjeti daljnje inovacije u krađi identiteta, ali važno je napomenuti da postoje načini obrane.
Prvo, obuka o svijesti o sigurnosti (eng. security awareness training) - zaposlenici su zapravo novi perimetar za organizaciju i stoga ima smisla ulagati u obuku. Obrazovanje je obično povezano s dugotrajnim naporom koji si malo koja organizacija može priuštiti. Ali postoje načini da obrazovanje učinite manje nametljivim i više automatiziranim korištenjem SAT softvera.
Drugo, inteligentna provjera identiteta (eng. intelligent identity verification) - korištenje modernog identity-as-a-service rješenja koje može ponuditi detaljna pravila kod prijava i autentikacije korisnika, posebno oko nepoznatih prijava iz neuobičajenih zemalja, doba dana itd. Mogućnost pokrivanja većine modernih SaaS rješenja koja se koriste u organizacijama pod istim „kišobranom“ inteligentne provjere autentičnosti vrlo je važna. Previše organizacija još uvijek ovisi o zastarjelom LDAP-u i rješenjima za upravljanje identitetom koja ne pokrivaju istovremeno unutarnje i vanjske SaaS aplikacije.
I konačno, usredotočenost na svaki endpoint je ključna: EDR/XDR ili srodna rješenja koja nude operativnu vidljivost oko endopoint-ova jedina su koja imaju šansu detektirati zlouporabu kolačića od strane malicioznih skripti i programa, te otkriti zlonamjerne aktivnosti kao što je krađa informacija na samom endpoint-u.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
