FBI აფრთხილებს თავდასხმებს, რომლებიც გვერდის ავლით მრავალფაქტორიან ავთენტიფიკაციას (MFA)

აშშ-ს გამოძიების ფედერალურმა ბიურომ (FBI) გასულ თვეში გაუგზავნა უსაფრთხოების კონსულტაცია კერძო ინდუსტრიის პარტნიორებს. ორგანიზაციებსა და მათ თანამშრომლებზე თავდასხმების მზარდი საფრთხე, რომლებსაც შეუძლიათ გვერდის ავლით მრავალფაქტორიანი ავთენტიფიკაცია (MFA) გადაწყვეტილებები.

„FBI-მ დააფიქსირა კიბერ მსახიობები, რომლებიც გვერდს უვლიდნენ მრავალფაქტორიან ავთენტიფიკაციას საერთო სოციალური საშუალებით. საინჟინრო და ტექნიკური შეტევები", - წერს FBI კერძო ინდუსტრიის შეტყობინებაში (PIN). 17 სექტემბერი.

საგარეო საქმეთა სამინისტროს შემოვლითი ინციდენტები

მიუხედავად იმისა, რომ დღესდღეობით MFA დაცვის გვერდის ავლით მრავალი გზა არსებობს, FBI-ის გაფრთხილება სპეციალურად გააფრთხილა SIM-ის შესახებ გაცვლა, დაუცველობა ონლაინ გვერდებზე, რომლებიც ამუშავებენ MFA ოპერაციებს და გამჭვირვალე მარიონეტების გამოყენება, როგორიცაა Muraen და ნეკრობრაუზერი.

აზრის გასაგებად, FBI-მ ჩამოთვალა ბოლო ინციდენტები, როდესაც ჰაკერებმა გამოიყენეს ეს ტექნიკა საგარეო საქმეთა სამინისტროს გვერდის ავლით და ფულის მოსაპარად კომპანიებისა და რეგულარული მომხმარებლებისგან. მოხსენებიდან მოვიყვანთ:

• 2016 წელს აშშ-ს საბანკო დაწესებულების მომხმარებლები მოხვდნენ კიბერ თავდამსხმელის სამიზნე, რომელმაც მათი ტელეფონის ნომრები გადაიტანა ტელეფონზე, რომელსაც ფლობდა - თავდასხმა სახელწოდებით SIM swapping. თავდამსხმელმა დაურეკა სატელეფონო კომპანიების მომხმარებელთა მომსახურების წარმომადგენლებს და იპოვა ზოგიერთი, ვინც უფრო სურდა მისთვის ინფორმაციის მიწოდება SIM-ის გაცვლის დასასრულებლად. მას შემდეგ, რაც თავდამსხმელმა გააკონტროლა კლიენტების ტელეფონის ნომრები, მან დაურეკა ბანკს და მოითხოვა საბანკო გადარიცხვა მსხვერპლის ანგარიშებიდან სხვა ანგარიშზე, რომელიც მას ეკუთვნის. ბანკმა, რომელმაც ტელეფონის ნომერი მომხმარებლის კუთვნილებად აღიარა, არ დაუსვა სრული უსაფრთხოების კითხვები, მაგრამ მოითხოვა ერთჯერადი კოდი, რომელიც გაგზავნილი იყო იმ ტელეფონის ნომერზე, საიდანაც ის ურეკავდა. მან ასევე მოითხოვა PIN-ების და პაროლების შეცვლა და შეძლო მსხვერპლის საკრედიტო ბარათის ნომრების მიმაგრება მობილური გადახდის აპლიკაციაში.
• 2018 და 2019 წლების განმავლობაში, FBI-ს ინტერნეტ დანაშაულის საჩივრების ცენტრი და FBI მსხვერპლის საჩივრები დაფიქსირდა ზემოაღნიშნული თავდასხმა - SIM ბარათის შეცვლა - როგორც საერთო ტაქტიკა კიბერ კრიმინალებისგან, რომლებიც ცდილობენ ორი ფაქტორის გვერდის ავლით ავთენტიფიკაცია. ამ თავდასხმების მსხვერპლებს ტელეფონის ნომრები მოიპარეს, საბანკო ანგარიშები დაიცვეს და პაროლები და PIN-ები შეიცვალა. ამ თავდასხმებიდან ბევრი ეყრდნობა სოციალური ინჟინერიის მომხმარებელთა მომსახურების წარმომადგენლებს ძირითადი სატელეფონო კომპანიებისთვის, რომლებიც ინფორმაციას აწვდიან თავდამსხმელებს.
• 2019 წელს აშშ-ს საბანკო დაწესებულება სამიზნე გახდა კიბერთავდამსხმელის მიერ, რომელმაც შეძლო ესარგებლა ხარვეზი ბანკის ვებსაიტზე, რათა თავიდან იქნას აცილებული დასაცავად განხორციელებული ორფაქტორიანი ავთენტიფიკაცია ანგარიშები. კიბერთავდამსხმელი შევიდა სისტემაში მოპარული მსხვერპლის სერთიფიკატებით და როდესაც მიაღწევდა მეორად გვერდს, სადაც ჩვეულებრივ მომხმარებელს უნდა შეეყვანა PIN და უპასუხეთ უსაფრთხოების შეკითხვას, თავდამსხმელმა შეიყვანა მანიპულირებული სტრიქონი ვებ URL-ში და დააყენა კომპიუტერი, როგორც აღიარებული. ანგარიში. ამან მას საშუალება მისცა გვერდის ავლით PIN და უსაფრთხოების კითხვების გვერდები და დაეწყო საბანკო გადარიცხვები მსხვერპლის ანგარიშებიდან.
• 2019 წლის თებერვალში კიბერუსაფრთხოების ექსპერტმა სან-ფრანცისკოში RSA კონფერენციაზე აჩვენა მრავალფეროვანი სქემები და თავდასხმები, რომლებიც კიბერ მსახიობებს შეუძლიათ გამოიყენონ მრავალფაქტორიანი ავთენტიფიკაციის გვერდის ავლით. უსაფრთხოების ექსპერტმა წარმოადგინა რეალურ დროში მაგალითები იმის შესახებ, თუ როგორ შეუძლიათ კიბერ მსახიობებს გამოიყენონ ადამიანის შუაგულში შეტევები და სესიები. გატაცება მომხმარებელსა და ვებსაიტს შორის ტრაფიკის გადასაჭრელად ამ შეტევების განსახორციელებლად და წვდომის შესანარჩუნებლად მანამ შესაძლებელია. მან ასევე აჩვენა სოციალური ინჟინერიის შეტევები, მათ შორის ფიშინგის სქემები ან თაღლითური ტექსტური შეტყობინებები ვითომ ბანკი ან სხვა სერვისი, რომელიც იწვევს მომხმარებლის შესვლას ყალბ ვებსაიტზე და უარი თქვას მის პირადზე ინფორმაცია.
• 2019 წლის ივნისის Hack-in-the-Box კონფერენციაზე ამსტერდამში, კიბერუსაფრთხოების ექსპერტებმა აჩვენეს წყვილი ინსტრუმენტი - Muraena და NecroBrowser - რომელიც მუშაობდა ტანდემში ფიშინგის სქემის ავტომატიზაციისთვის მრავალფაქტორიანი ავტორიზაციის მომხმარებლების წინააღმდეგ. Muraena ინსტრუმენტი წყვეტს ტრაფიკს მომხმარებელსა და სამიზნე ვებსაიტს შორის, სადაც მათ სთხოვენ შეიყვანონ შესვლის სერთიფიკატები და ჟეტონ კოდი, როგორც ყოველთვის. ავთენტიფიკაციის შემდეგ, NecroBrowser ინახავს ამ თავდასხმის მსხვერპლთა მონაცემებს და იტაცებს სესიის ქუქი-ფაილს, რაც კიბერ მსახიობებს შესვლის საშუალებას აძლევს ამ პირად ანგარიშებზე, აიღეთ ისინი და შეცვალეთ მომხმარებლის პაროლები და აღდგენის ელ. ფოსტის მისამართები და შეინარჩუნეთ წვდომა მანამ, სანამ შესაძლებელია.

საგარეო საქმეთა სამინისტრო კვლავ ეფექტურია

FBI-მ მკაფიოდ თქვა, რომ მისი გაფრთხილება მხოლოდ სიფრთხილის მიზნით უნდა იქნას მიღებული და არა საგარეო საქმეთა სამინისტროს ეფექტურობაზე თავდასხმა, რასაც სააგენტო კვლავ გირჩევთ. FBI კვლავ ურჩევს კომპანიებს გამოიყენონ MFA.

ამის ნაცვლად, FBI-ს სურს, რომ საგარეო საქმეთა სამინისტროს გადაწყვეტილებების მომხმარებლებმა იცოდნენ, რომ კიბერ-კრიმინალებს ახლა აქვთ გზები ამ ანგარიშის დაცვაზე.

„მრავალფაქტორიანი ავთენტიფიკაცია კვლავაც არის ძლიერი და ეფექტური უსაფრთხოების ღონისძიება ონლაინ დასაცავად ანგარიშებზე, სანამ მომხმარებლები იღებენ სიფრთხილის ზომებს, რათა უზრუნველყონ, რომ არ გახდნენ ამ თავდასხმების მსხვერპლი", - FBI განაცხადა.

საგარეო საქმეთა სამინისტროს შეტევები იშვიათია

მიუხედავად ინციდენტების რაოდენობისა და თავდასხმის ხელსაწყოები, რომლებსაც შეუძლიათ საგარეო საქმეთა სამინისტროს გვერდის ავლით, ეს შეტევები ჯერ კიდევ წარმოუდგენლად იშვიათია და არ არის ავტომატიზირებული მასშტაბით. გასულ კვირას მაიკროსოფტმა განაცხადა, რომ თავდასხმები, რომლებსაც შეუძლიათ საგარეო საქმეთა სამინისტროს გვერდის ავლით, იმდენად უჩვეულოა, რომ სტატისტიკაც კი არ აქვთ.

ამის საპირისპიროდ, OS შემქმნელმა თქვა, რომ ჩართვისას, MFA დაეხმარა მომხმარებლებს დაბლოკოს ყველა ანგარიშის ჰაკერების 99.9%..

მაისში, Google-მაც თქვა მსგავსი რამ და განაცხადა, რომ მომხმარებლებმა, რომლებმაც დაამატეს აღდგენის ტელეფონის ნომერი თავიანთ ანგარიშებზე (და ირიბად ჩართო SMS-ზე დაფუძნებული MFA), გააუმჯობესეს თავიანთი ანგარიშის უსაფრთხოება.

„ჩვენი კვლევა აჩვენებს, რომ აღდგენის ტელეფონის ნომრის უბრალოდ დამატება თქვენს Google ანგარიშზე შეიძლება დაბლოკოს 100%-მდე ავტომატიზირებული ბოტები, ნაყარი ფიშინგის შეტევების 99% და მიზანმიმართული შეტევების 66%, რომლებიც განხორციელდა ჩვენს დროს გამოძიება", Google-მა თქვა მაშინ.

მთლიანობაში, MFA ჯერ კიდევ ძალიან ეფექტურია მასობრივი და ავტომატური თავდასხმების უმეტესობის თავიდან ასაცილებლად; თუმცა, მომხმარებლებმა უნდა იცოდნენ, რომ არსებობს MFA-ს ზოგიერთი გადაწყვეტის გვერდის ავლის გზები, როგორიცაა ის, რაც ეყრდნობა SMS-ზე დაფუძნებულ ვერიფიკაციას.

ამის ნაცვლად, მომხმარებლებმა უნდა აირჩიონ უფრო ძლიერი MFA გადაწყვეტა, რომელიც არ იქნება დაუცველი სოციალური ინჟინერიის ხრიკების მიმართ, როგორიცაა SIM-ის შეცვლა, ან გამჭვირვალე მარიონეტები, რომლებსაც შეუძლიათ MFA ჟეტონის ჩარევა.

ამ გვერდზეMicrosoft-ის უსაფრთხოების ინჟინერმა გააანალიზა, თუ როგორ მოქმედებს MFA-ს სხვადასხვა გადაწყვეტილებები MFA-შემოვლითი შეტევების წინააღმდეგ. ცხრილის ბოლოში ჩამოთვლილი გადაწყვეტილებები ყველაზე ძლიერია.