Как хакеры могут обойти многофакторную аутентификацию
Многофакторная аутентификация (MFA) – это протокол аутентификации, который требует от пользователей введения дополнительных факторов для входа в свою учетную запись. К таким дополнительным факторам относятся:
Что-то, что вы знаете: Это может включать пароль, PIN-код или ответ на секретный вопрос.
Что-то, что у вас есть: Это может быть мобильный телефон, аппаратный токен, брелок, ключ безопасности и т.д.
Что-то, что касается вас: Сюда входит биометрическая информация, такая как отпечатки пальцев, распознавание лица, сканирование сетчатки глаза или распознавание голоса.
Пользователи обязаны предоставить по крайней мере два из этих дополнительных факторов для подтверждения личности.
Как киберпреступники могут обойти многофакторную аутентификацию?
Хакеры могут обойти MFA, равно как и двухфакторную аутентификацию, где есть только имя пользователя и пароль. Ниже приведены некоторые из наиболее распространенных способов обхода MFA:
Социальная инженерия
Методы социальной инженерии, такие как фишинг, являются распространённым способом получения злоумышленниками учетных данных. Например, в некоторых случаях злоумышленники пытаются войти в облачный сервис организации, который посылает владельцу учетной записи SMS-сообщение с подтверждающим кодом. Затем хакер отправляет электронное письмо владельцу учетной записи с просьбой сообщить код верификации. Конечно, для того чтобы это сработало, злоумышленник должен убедить пользователя, что он является доверенным лицом. В некоторых случаях хакер посылает электронное письмо сотруднику, который ничего не подозревает, чтобы получить основную личную информацию. Используя эту информацию, он может попытаться позвонить поставщику услуг и объяснить, что его аккаунт был заблокирован, и он хочет получить помощь в восстановлении доступа к нему.
Фишинг согласия (Consent Phishing)
Еще одна техника социальной инженерии, которая становится популярной, известна как «consent phishing» (фишинг на основе согласия). Когда хакеры отправляют пользователю то, что выглядит как настоящая страница входа в систему OAuth. Впоследствии злоумышленник запрашивает необходимый ему уровень доступа, и если доступ предоставляется, он может обойти проверку MFA.
Перебор методом грубой силы
Одним из главных преимуществ многофакторной аутентификации является то, что она значительно усложняет подбор паролей к аккаунтам. Но, хоть она и усложняет эту задачу, но не делает ее невозможной. Например, хакеры могут искать фотографии пользователя в социальных сетях, чтобы обойти систему MFA, использующую распознавание лица. В некоторых экстремальных случаях они могут попытаться найти отпечатки пальцев пользователя, посыпав гладкую или непористую поверхность порошком для отпечатков пальцев, а затем сфотографировав отпечатки камерой с высоким разрешением.
Использование сгенерированных токенов
Многие онлайн-сервисы используют программы аутентификации, такие как Microsoft Authenticator и Google Authenticator, для генерации временных токенов, которые могут быть использованы как фактор аутентификации. В некоторых случаях эти сервисы сохраняют список аутентификации кодов, используемых поставщиком услуг при блокировке учетной записи. Хакеры могут попытаться получить этот список, используя слабые стороны защиты данных, чтобы обойти MFA.
Перехват сеанса
При перехвате сеанса злоумышленник похищает сессионные файлы cookie, содержащие учетные пользовательские данные для аутентификации. Сессионные файлы cookie используются многими веб-приложениями для обеспечения индивидуального просмотра веб-страниц и отслеживания активности пользователя. Эти сессионные файлы cookie остаются активными, пока пользователь не выйдет из системы, а иногда отправляются на сервер через незащищенное соединение. Хакеры могут легко обнаружить, что сессионные файлы cookie незащищены, и угнать эти файлы с помощью атаки типа «man in the middle» (MITM – человек посередине). Получив доступ к сессионным файлам cookie, они могут обойти MFA.
Взлом SIM-карт
Киберпреступники могут получить доступ к вашему мобильному устройству с помощью одного из трех методов: Взлом SIM-карты, подмена SIM-карты и клонирование SIM-карты, которые более подробно описаны ниже:
Взлом SIM-карты: хакеры посылают на целевое устройство код, похожий на шпионское программное обеспечение с помощью SMS-сообщения. Если пользователь откроет сообщение, хакер сможет шпионить за жертвой, таким образом потенциально получив доступ к учетным данным.
Подмена SIM-карты: злоумышленники связываются с оператором мобильной связи и просят заменить SIM-карту. Поскольку нередко пользователи просят новые SIM-карты, возможно из-за того, что они переходят на новое устройство, поставщик услуг может выполнить эту просьбу и отправить им новую карту. Как только хакер получит новую SIM-карту, он может использовать ее для получения доступа к вашему аккаунту, при условии, что аккаунт использует SMS-верификацию как один из факторов MFA.
Клонирование SIM-карты: хакеры получают доступ к вашему физическому устройству, извлекают SIM-карту и копируют данные SIM-карты на чистую карту, используя программное обеспечение для копирования смарт-карт. Затем хакер вставляет новую SIM-карту в свой телефон и получает телефонные звонки и текстовые сообщения на эту SIM-карту, включая коды проверки подлинности MFA.
Как усилить многофакторную аутентификацию
Учитывая, что самый простой способ обойти MFA – убедить пользователей передать учетные данные и/или персональные данные, крайне важно, чтобы ваши сотрудники были обучены обнаруживать атаки социальной инженерии, такие как фишинговые электронные письма, подозрительные телефонные звонки и SMS-сообщения. Ниже приведены еще несколько советов по усилению MFA:
Подходите к выбору методов аутентификации с умом
Если вы хотите быть более защищенными, возможно лучше вообще отказаться от аутентификации с помощью SMS, поскольку SMS OTP легче скомпрометировать, чем другие методы. Если вы хотите использовать SMS-верификацию, подумайте о настройке блокировки SIM-карты, что означает, что для модификации вашей SIM-карты нужен PIN-код. Старайтесь использовать биометрическую аутентификацию, когда это возможно. Ведь немногие из хакеров будут утруждать себя посыпанием дверных ручек порошком для того, чтобы получить копию вашего отпечатка пальца.
Используйте адаптивную многофакторную аутентификацию
Рассмотрите возможность использования адаптивной многофакторной аутентификации (AMFA), которая является более контекстным подходом к MFA. С помощью AMFA каждый запрос проверяется путём изучения геолокации пользователя, репутации IP-адреса, устройства и поведения при входе в систему.
Используйте сложные пароли, ограничивайте доступ и отслеживайте попытки входа в систему.
Убедитесь, что пользователи используют надежные и уникальные пароли. Пароли должны быть либо длинными алфавитно-цифровыми строками с символами верхнего и нижнего регистра, либо сложной для угадывания фразой. Всегда нужно убедиться, что пользователям предоставлен минимум привилегий, необходимых для выполнения их ролей. Таким образом, если злоумышленнику все же удастся обойти MFA, он не сможет нанести большой урон. Убедитесь, что у вас есть средства обнаружения и реагирования на аномальные попытки входа в систему. Некоторые сложные решения для аудита изменений в режиме реального времени способны выявлять и реагировать на события, отвечающие заранее определенным предельным условиям. Например, если в течение определенного периода времени происходит x попыток входа в систему, может быть выполнен специальный сценарий для отключения аккаунта пользователя, отключения соответствующего сервера и других действий, которые помогут локализовать угрозу. Эти решения могут также работать в облачных средах.
Как использовать Lepide для защиты привилегированных аккаунтов
Привилегированные аккаунты требуют больше уровней защиты, чем многофакторная аутентификация. Необходимо постоянно контролировать деятельность привилегированных аккаунтов и отслеживать, когда изменяются права доступа к конфиденциальным данным. Lepide может помочь вам в этом.
С помощью Lepide Вы можете идентифицировать сотрудников, имеющих доступ к конфиденциальным данным, и выяснить, откуда они имеют этот доступ прямо или косвенно (например, через группы вложенных аккаунтов). Затем Lepide проанализирует поведение этих пользователей, чтобы определить, нужен ли им такой уровень доступа. Если нет, то разрешения будут считаться чрезмерными.
Lepide также может заметить аномалии в поведении этих пользователей, чтобы вы могли быстро обнаружить и отреагировать на то, что может являться признаками злоупотребления привилегиями.
Если вы хотите узнать, как Lepide Data Security Platform может помочь вам защитить ваши привилегированные аккаунты – заполните краткую форму на нашем сайте и получите подробную консультацию от наших экспертов. iIT Distribution – официальный дистрибьютор решений Lepide в Украине. Мы оказываем полную поддержку планирования и реализации проектов по внедрению решений вендора и стремимся обеспечивать наших клиентов наилучшими решениями для построения безопасной ИТ-инфраструктуры.
