Uwierzytelnianie wieloskładnikowe (MFA), przez lata uważane za skuteczne zabezpieczenie przed phishingiem, staje się coraz mniej pewną barierą.
Eksperci z grupy Cisco Talos informują, iż cyberprzestępcy opracowali zaawansowane techniki pozwalające na obchodzenie tego mechanizmu, co zmusza organizacje do ponownego przemyślenia swoich strategii bezpieczeństwa.
„Cyberprzestępcy coraz częściej potrafią ominąć mechanizmy MFA” – mówi Thorsten Rosendahl z Cisco Talos. „Obserwujemy wyraźny wzrost liczby ataków typu adversary-in-the-middle. To oznacza, iż firmy nie mogą już polegać wyłącznie na dotychczasowych, sprawdzonych środkach ochrony – muszą ponownie je przemyśleć i dostosować”.
Jak działają ataki nowej generacji?
Cisco Talos zwraca uwagę na kilka kluczowych technik i narzędzi wykorzystywanych przez cyberprzestępców:
- Technika adversary-in-the-middle (AiTM): atakujący, zamiast tworzyć fałszywe strony logowania, wykorzystują odwrócone serwery proxy, które łączą się bezpośrednio z autentyczną stroną docelową. Ofiara, myśląc, iż korzysta z prawdziwej usługi, w rzeczywistości przesyła swoje dane przez serwer należący do atakującego. Gdy użytkownik zatwierdzi prośbę o uwierzytelnienie MFA, cyberprzestępca przechwytuje ciasteczko uwierzytelniające, uzyskując pełen dostęp do aktywnej sesji.
- Narzędzia Phishing-as-a-Service (PhaaS): gotowe zestawy narzędzi, takie jak Evilproxy czy Tycoon 2FA, znacząco obniżają próg wejścia dla cyberprzestępców. Dzięki szablonom, filtrom i mechanizmom omijania zabezpieczeń, choćby osoby bez zaawansowanej wiedzy technicznej mogą przeprowadzać skomplikowane ataki na dużą skalę.
- Niewystarczające metody ochrony: tradycyjne zabezpieczenia, takie jak filtry antyspamowe, szkolenia dla pracowników czy proste MFA oparte na haśle i powiadomieniu push, mogą być łatwo ominięte, jeżeli atakujący dysponuje odpowiednią infrastrukturą. Szczególnie niebezpieczna jest sytuacja, gdy po przejęciu dostępu przestępca dodaje własne urządzenie MFA do konta ofiary, co często pozostaje niezauważone.
Jak się bronić?
Eksperci z Cisco Talos podkreślają, iż kluczowa jest w tej chwili odpowiednia prewencja i inwestycja w trwałe oraz odporne metody uwierzytelniania. Jednym z najbardziej obiecujących rozwiązań jest WebAuthn – standaryzowana, bezhasłowa metoda uwierzytelniania oparta na kryptografii klucza publicznego. W tej wersji MFA, klucze kryptograficzne są powiązane z oryginalną domeną witryny, co praktycznie uniemożliwia ich podrobienie przez fałszywe strony czy serwery proxy. Mimo to, WebAuthn jest wciąż rzadko stosowane w firmach.
Cisco Talos zaleca organizacjom ponowną ocenę swoich strategii MFA i oferuje wsparcie w dostosowaniu ich do nowych wyzwań, od analizy sieci IT po kompleksowe architektury bezpieczeństwa w modelu Zero Trust.
Jeśli artykuł Cisco Talos ostrzega: cyberprzestępcy coraz skuteczniej omijają uwierzytelnianie wieloskładnikowe (MFA) nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
