Cyber napadači zaobilaze MFA

Globalni trendovi iz polja cyber sigurnosti reflektiraju se i na tržište Bosne i Hercegovine. Uz napregnute logističke lance i dugo čekanje na isporuku proizvoda, problem predstavlja i nedostatak stručne radne snage. Samim time, cyber napadači sve češće “ulaze” u organizacije. Digitalna transformacija svakodnevno povećava kompleksnost mreža i zahtjeve za produktivnošću, zaposlenici su preopterećeni, a uočavanje cyber napadača i cyber prijetnji postaje sve teže. Potreba za kadrovima koji se mogu nositi s cyber izazovima raste, posebno u SMB sektoru. Naime, najveći broj napada u Bosni i Hercegovini usmjeren je na IT infrastrukturu malih i srednjih poduzeća. Cyber napadači se najčešće oslanjaju na kompromitirane lozinke korisnika, pa zaštita identiteta postaje prioritet.

Naime, oslanjanje isključivo na lozinke danas se može promatrati kao svojevrsna pozivnica napadačima. Lozinke se nalaze posvuda – od Word dokumenata i emaila do notesa na radnom stolu zaposlenika – i napadačima olakšavaju ulaz u organizaciju.  

Prema Data Breach Investigation Report istraživanju (Verizon, 2022), čak 82% proboja u organizacije rezultat je korištenja ukradenih akreditacija. Stoga nije čudno da su zaposlenici primarni vektor napada širom svijeta. 

Kao industrijski minimum, multifaktorska autentifikacija ili MFA se danas očekuje od svih kompanija. MFA je razvijena s ciljem da osigura sve pristupne točke u organizaciju – od VPN-a do web aplikacija. Ipak, tijekom posljednje se godine dogodio obrat. Napadači su počeli zaobilaziti MFA metode koje se temelje na tzv. out-of-band provjeri identiteta. Tu se najčešće radi o push notifikacijama na smatphoneu putem aplikacija poput Microsoft ili Google Authenticator. Također, može se raditi o aplikacijama i tokenima koje generiraju jednokratnu lozinku (eng. one-time password ili OTP), a koju korisnik ukucava kod prijave. 

Kako cyber napadači zaobilaze multifaktorsku autentifikaciju?

Svima su već poznate MFA aplikacije za pametne telefone koje djeluju kao autentifikator. Kada netko pokuša pristupiti određenoj aplikaciji putem drugog uređaja, korisnik će na svom telefonu zaprimiti push notifikaciju. To je klasičan primjer out-of-band autentifikacije koju danas svi koristimo kako bi se zaštitili organizacijski resursi – od aplikacija za financijsko računovodstvo poput ERP-a i CRM-a do e-pošte.

Uz pomoć attacker-in-the-middle proxy tehnika (AitM) i tzv. prompt bombing, napadači danas zaobilaze ovakve MFA prakse. Nedavni napadi poznatih kompanija kao što su Uber, Twilio, MailChimp i Cloudflare pokazuju da nove tehnike zaobilaženja MFA postaju sve raširenije. Nije iznenađujuće što na primjer Američka agencija za cyber sigurnost i sigurnost infrastrukture (CISA) preporučuje da sve organizacije odmah implementiraju MFA otporan na krađu identiteta (phishing-resistant MFA).

Ključne slabosti out-of-band MFA koje iskorištavaju cyber napadači

Napadači su uspješno iskoristili dvije ključne slabosti out-of-band MFA autentifikacije putem push notifikacije na pametnom telefonu.

Prva slabost se odnosi na lažne web stranice koje izgledaju i djeluju identično kao legitimne web stranice (npr. 0ffice.com umjesto office.com), što korisnike dovodi u zabludu. Novost je da ta stranica prima i prosljeđuje sve web zahtjeve korisnika i odgovore s legitimnog servera (npr. Microsoft 365). S aspekta korisnika, cijeli proces izgleda potpuno autentično – nakon prijave, slijedi push notifikacija na mobilnom uređaju ili ukucavanje OTP lozinke. Autentifikator, naravno, nije svjestan da korisnik pristupa stranici preko posredničkog servera koji krade podatke. Jedini tko to može primijetiti je korisnik. Za krađu vjerodajnica je dovoljno samo da korisnik odobri push notifikaciju ili ukuca one-time lozinku (OTP).

Dodatno, ako se napadač domogao prvog faktora, odnosno lozinke korisnika, automatski će pokretati niz prijava koje rezultiraju većim brojem push notifikacija na mobilnom uređaju korisnika. Napadač u tom slučaju računa na grešku ili zamor korisnika koji će na kraju odobriti push notifikaciju, što nazivamo prompt bombing. Ako korisnik odobri jedan od niza takvih pop-up zahtjeva, vjerodajnice će biti ukradene. Važno je napomenuti da korisnik može odobriti zahtjev čak i ako nije u blizini uređaja s kojeg se zahtjeva pristup (a to je računalo napadača u ovom slučaju).

Rješenje ovih problema je MFA otporan na krađu identiteta, koji vraća autentifikaciju na isti uređaj na kojem se korisnik prijavljuje. To se može postići integriranjem autentifikatora u uređaj (prijenosno računalo sa sustavom Windows) ili korištenjem zasebnog fizičkog tokena koji je povezan s uređajem putem USB-a ili NFC-a/Bluetootha.

Kako funkcionira MFA autentifikacija otporna na krađu identiteta?

Trenutno su dostupne dvije metode MFA autentifikacije otporne na phishing:

FIDO2/Webauthn token: Svi glavni operativni sustavi (Windows, Google, Apple) podržavaju ovaj token, a integriran je u sve glavne web preglednike. To ga čini prikladnim za mobilne i prijenosne računala, s posebnim naglaskom na antiphishing.

PKI token: Ovo je tradicionalna tehnika temeljena na kriptografiji javnog ključa koja nudi snažnu autentifikaciju, ali često zahtijeva klijentski softver čije održavanje može biti komplicirano u kontekstu organizacije. Također, ima slabo podržane mobilne scenarije. Ipak, važno je napomenuti da se PKI koristi i neophodan je za digitalno potpisivanje i šifriranje sadržaja (e-pošta, datoteke itd.).

FIDO2 tokeni imaju dvije osobine koje ih čine otpornim na krađu identiteta.

Autentifikator automatski provjerava je li povezan s dodijeljenom aplikacijom/web-stranicom. Neće se autentificirati na lažnu web-stranicu koja posreduje zahtjeve i odgovore s legitimnog servisa. Ovo je ključan element za prevenciju phishinga. Osim putem PIN-a, fizička prisutnost se prije otključavanja autentifikatora provjerava putem “geste”, npr. dodirivanjem uređaja ili biometrijskom provjerom (otisak prsta, prepoznavanje lica itd.).

Standard FIDO2/Webauthn donosi sve prednosti PKI-ja kao što je snažna autentifikacija temeljena na kriptografiji s javnim ključem, ali uz smanjene administrativne troškove i širu podršku za različite uređaje i platforme. Korisnički privatni ključ nikada ne napušta autentifikator i ne pohranjuje se na strani poslužitelja, zbog čega cyber napadači mnogo teže mogu izvršiti phisning napad.

Žalite saznati više kako implementirati FIDO2 u organizacijama? Kontaktirajte nas.