گزارش سیسکو در مورد هک MFA از ارائه کنفرانس Black Hat پشتیبانی می کند


راجر گریمز، کارشناس وزارت امور خارجه، می گوید که احراز هویت چندعاملی دفاعی مهمی است که متخصصان امنیت فناوری اطلاعات باید به عنوان بخشی از استراتژی امنیت سایبری از آن استفاده کنند.

این “اما” این است که راه حل باید در برابر فیشینگ مقاوم باشد.

او در سخنرانی چهارشنبه در کنفرانس BlackHat در لاس وگاس گفت: “بیشتر مردم از راه حل های MFA به راحتی قابل فیش کردن استفاده می کنند.” متأسفانه، حدود 90 تا 95 درصد از MFA را می توان در اطراف فیش کرد و دور زد.

گریمز، مبشر دفاعی مبتنی بر داده برای شرکت آموزشی آگاهی امنیتی KnowBe4، گفت: «من MFA را دوست دارم. اما، او افزود، IT “باید از MFA مقاوم در برابر فیشینگ در زمان و مکانی که می تواند برای محافظت از داده ها و سیستم های ارزشمند استفاده کند.”

به طور تصادفی، اوایل همان روز، سیسکو سیستمز نقضی را پذیرفت که حرف او را ثابت کرد: به خطر افتادن حساب Google شخصی یکی از کارمندان سیسکو منجر به ورود یک عامل تهدید به VPN شرکت در ماه مه شد. چگونه؟ کارمند مورد کلاهبرداری فیشینگ قرار گرفت.

ابتدا، مهاجم اعتبار سیسکوی قربانی را که در مرورگر آنها ذخیره شده بود، دریافت کرد. سپس، برای دور زدن حفاظت MFA کارمند، هکر مکرراً پیام‌های جعلی فشار MFA را برای کارمند ارسال می‌کند، همراه با تماس‌های صوتی ظاهراً از سازمانی که کارمند به آن اعتماد دارد و از آن‌ها می‌خواهد اعلان MFA را در دستگاه تلفن همراه خود بپذیرند. در نهایت کارمند تسلیم شد.

پس از آن، مهاجم مجموعه ای از دستگاه های جدید را برای MFA در حساب کارمند ثبت کرد و با موفقیت در Cisco VPN احراز هویت کرد. سپس مهاجم امتیازات مدیریتی را افزایش داد و به آنها اجازه ورود به سیستم های متعدد را داد. این موضوع به تیم پاسخگویی به حوادث امنیتی سیسکو هشدار داد.

درحالی‌که مهاجم می‌توانست در محیط سیسکو حرکت کند، شرکت می‌گوید تنها داده‌ای که آنها به دست آورده‌اند از یک پوشه در پلتفرم ذخیره‌سازی ابری Box حساب یک کارمند در معرض خطر بود. سیسکو می گوید که داده ها حساس نبودند.

حتما بخوانید:
بهترین قهوه چه نوع قهوه ای است؟

سرویس خبری Bleeping Computer می‌گوید داده‌های به سرقت رفته که اکنون در وب تاریک منتشر شده‌اند، شامل توافق‌نامه‌های عدم افشای اطلاعات، تخلیه داده‌ها و نقشه‌های مهندسی است.

در گزارش سیسکو مشخص نیست که چگونه مهاجم ابتدا حساب Google کارمند را به خطر انداخته است.

این گزارش بر آنچه گریمز در ارائه خود گفته است تأکید می‌کند: آموزش آگاهی از امنیت کاربران بخش کلیدی مقابله با تکنیک‌های بای پس MFA است، از جمله به کارمندان می‌گوید در صورت دریافت درخواست‌های فشار اشتباه روی تلفن‌های هوشمند خود، چه کاری انجام دهند و چگونه پاسخ دهند.

سیسکو گفت، در بخش فناوری اطلاعات، سازمان‌ها باید تأیید قوی دستگاه را برای محدود کردن یا مسدود کردن اضافه شدن دستگاه‌های تلفن همراه، به‌ویژه دستگاه‌های مدیریت‌نشده، به حساب‌های کارمندان اجرا کنند. سیسکو افزود: استفاده از تشخیص خطر برای برجسته کردن رویدادهایی مانند استفاده از یک دستگاه کاملاً جدید از یک مکان غیر واقعی، یا الگوهای حمله مانند ورود به سیستم brute force، می تواند به شناسایی دسترسی های غیرمجاز کمک کند.

گریمز گفت: «هر چیزی را می توان هک کرد، از جمله وزارت امور خارجه. “برخی از آنها سخت تر از دیگران هستند.” اما، او افزود، “من می توانم هر راه حل وزارت خارجه را حداقل به پنج روش مختلف هک کنم.”

او شکایت کرد که وزارت امور خارجه “بیش از حد فروخته شده است”، به خصوص وقتی چیزهایی مانند “MFA 99 درصد حملات را متوقف می کند” می شنوم. اینطور نیست. هرگز نخواهد شد. هنوز هم احتمالاً یکی از بهترین کارهایی است که می توانید برای محافظت از محیط زیست خود انجام دهید. (اما) این راه حل جام مقدس نیست.»

به گفته گریمز، حملات مکرر مبتنی بر فشار که به تلفن‌های همراه ارسال می‌شوند – مانند مثال سیسکو – متکی به فرسودگی قربانی هستند تا در نهایت روی تأییدیه فرضی وزارت خارجه کلیک کنند. او مثالی زد که یک مدیر اجرایی علیرغم اخطار، بارها در دام کلاهبرداری افتاد.

حتما بخوانید:
گارتنر پیش‌بینی می‌کند که هزینه‌های کاربران نهایی ابر عمومی در سراسر جهان در سال 2023 به حدود 600 میلیارد دلار برسد.

اما او گفت که متداول‌ترین روش موفقیت‌آمیز حمله فیشینگ MFA، ربودن جلسه شبکه است که به عنوان حمله مرد در وسط نیز شناخته می‌شود. معمولاً با ارسال یک ایمیل توسط مهاجم به هدف شروع می شود که ظاهراً از طرف یک برند معروف – کارفرمای آنها، بانک آنها، یک سایت رسانه اجتماعی – می گوید به دلیل فعالیت نامنظم حساب، هدف باید روی یک پیوند کلیک کرده و اعتبار ورود خود را تأیید کند. این پیوند به یک وب‌سایت ساختگی می‌رود که نه تنها نام کاربری و رمز عبور قربانی، بلکه هر کوکی جلسه MFA که توسط وب‌سایت واقعی ارسال می‌شود را نیز ثبت می‌کند. مهاجم از آن کوکی برای ورود به حساب قربانی استفاده می کند.

جدیدترین نمونه، گزارش 12 جولای مایکروسافت در مورد یک کمپین بزرگ فیشینگ است. مایکروسافت می گوید این یک آسیب پذیری MFA نیست.

گریمز خاطرنشان کرد که از سال 2017، دولت ایالات متحده به ادارات دولتی هشدار داده است که از MFA مبتنی بر تلفن یا پیامک برای احراز هویت استفاده نکنند.

او ادامه داد که استفاده از بیومتریک، مانند تشخیص چهره و اسکن اثر انگشت، به اندازه کافی در دستگاه های مصرف کننده قوی نیست. آنها باید با فاکتور احراز هویت دیگری مانند رمز عبور یا شماره پین ​​تکمیل شوند.

به گفته گریمز، رهبران فناوری اطلاعات و امنیت باید به دنبال راه‌حل‌های MFA باشند که از محافظت فیشینگ قوی برخوردار باشد، مانند راه‌حلی که توسط اتحاد FIDO تأیید شده است. آنها به پیش ثبت نام سایت ها و خدمات نیاز دارند. او گفت که در برخی موارد، استفاده از یک کلید امنیتی مانند YubiKey یا Google Titan ممکن است مناسب باشد.

KnowBe4 این صفحه مشاوره وزارت امور خارجه را ارائه می دهد.


منبع: night-sky.ir