Phishing napadači sada imaju više opcija da zaobiđu višefaktorsku autentifikaciju
Kako usvajanje višefaktorske autentifikacije (MFA) raste, napadači se prilagođavaju primenom tehnika phishinga koje zaobilaze MFA.
Nedavno su istraživači Sophos-a dali uvid kako napadači mogu da ukradu kolačiće sesije da bi zaobišli MFA. Kada napadači uđu u mrežu organizacije, mogu da beleže podatke kolačića iz kompromitovanih sistema i koriste legitimne izvršne datoteke da prikriju zlonamerne aktivnosti. Ovaj napad prenosa kolačića (eng. pass-the cookie attack) može da pruži vitalne informacije koje se mogu koristiti za programski pristup nalogu i aplikacijama kompromitovanog korisnika.
Kada napadači dobiju pristup korporativnim web i cloud resursima pomoću kolačića, mogu ih koristiti za dalju eksploataciju kao što je kompromitovanje poslovne e-pošte, društveni inženjering, dobijanje dodatnog pristupa sistemu, pa čak i modifikovanje podataka ili spremišta izvornog koda.
U praksi, operateri ransomware-a će koristiti tipičnu komponentu malvera za prikupljanje kolačića sa uređaja korisnika. Sofisticiraniji akteri će zloupotrebljavati legitimne alate za simulaciju napada kao što su Mimikatz, Metasploit Meterpreter i Cobalt Strike da bi pokrenuli malver koji prikuplja kolačiće ili pokrenuli skripte koje beleže kolačiće iz keša pretraživača.
Pored krađe kolačića iz kompromitovanog sistema, postoje načini za krađu kolačića čak i ako napadač nema pristup uređaju. Ova tehnika se obično naziva adversary-in-the-middle (AiTM) phishing. Kao što je Microsoft već izvestio, pristup ne uključuje samo lažno predstavljanje originalne stranice ili web aplikacije, već i proxy-ranje zahteva za dobijanje kolačića sesije. Ono što je najvažnije, korisniku se prikazuje originalni MFA obrazac, proksiran direktno sa phishing sajta.
Načini odbrane
Sigurno ćemo videti dalje inovacije u krađi identiteta, ali važno je napomenuti da postoje načini da se odbranite.
Prvo, obuka za podizanje svesti o bezbednosti (eng. security awareness training) – zaposleni su zapravo novi perimetar za organizaciju i stoga ima smisla ulagati u obuku. Međutim, obuka je obično povezana sa dugoročnim naporom koji malo organizacija može priuštiti. Ali postoje načini da obrazovanje bude manje nametljivo i više automatizovano pomoću SAT softvera.
Drugo, inteligentna verifikacija identiteta – korišćenje modernog identity-as-a-service rešenja koje može da ponudi detaljna pravila za autentikaciju, posebno oko nepoznatih prijava iz neobičnih zemalja, doba dana, itd. Veoma je važna mogućnost pokrivanja većine savremenih SaaS rešenja koji se koriste u organizacijama pod istim „kišobranom“ inteligentne autentifikacije. Previše organizacija i dalje zavisi od zastarele LDAP autentikacije i rešenja za upravljanje identitetima koja ne pokrivaju ni interne, ali ni eksterne SaaS aplikacije.
I na kraju, fokusiranje na svaki endpoint je ključno: rešenja poput EDR/XDR-a koja nude operativnu svest oko endpointova su jedina koja imaju šansu da spreče zloupotrebu kolačića od strane skripti i nepouzdanih programa i otkriti malver koji krade informacije.
