W wieloskładnikowej autoryzacji logowania MFA, ang. Multi-Factor Authentication – stanowi dodatkową przeszkodę dla przestępców próbujących dokonać oszustwa polegającego na przejęciu konta poprzez seryjne wypełnianie danych dostępowych. Niestety, atakujący odkrywają nowe sposoby obejścia tego zabezpieczenia. Dlatego firmy powinny podjąć dodatkowe środki w celu wzmocnienia bezpieczeństwa MFA, w tym ograniczania botów i monitorowania ryzyka kontekstowego.

Niezależnie od swoich słabości, MFA jest znaczącym krokiem naprzód, ponieważ uwierzytelnianie wyłącznie za pomocą hasła nie jest już dzisiaj wystarczające. Użytkownicy nie są w stanie zapamiętać długich ciągów znaków. Często zatem idą na skróty - wybierają proste, przewidywalne hasła i ponownie wykorzystują je w różnych aplikacjach, co prowadzi do wielu naruszeń bezpieczeństwa. Dlatego MFA utrudnia możliwość przejęcia konta, ale nie chroni całkowicie przed cyberatakiem.

Słabe punkty uwierzytelnienia dwuskładnikowego

W tradycyjnym logowaniu opartym tylko na haśle, atakujący mogą próbować złamać dane dostępowe za pomocą różnych metod: siłowo (ang. brute force), stosując phishing, czy wpisując wielokrotnie popularne hasła. MFA wprowadza drugi czynnik, który wymaga dodatkowej autoryzacji, np. poprzez wpisanie kodu na telefonie lub użycie klucza fizycznego. Dzięki temu, nawet jeśli hasło zostanie złamane, atakujący potrzebuje również dostępu do drugiego czynnika, co znacznie zwiększa poziom bezpieczeństwa. Jednak, jak pokazują dane F5, sposób ten ma również słabe strony.

Wykorzystując ponowne użycie hasła, hakerzy wdrażają automatyczne programy do testowania skradzionych loginów. Atakujący korzystają również z botów, bombardując użytkowników różnymi fałszywymi informacjami w celu omyłkowej autoryzacji MFA. Można temu zapobiec, stosując aktywne narzędzia do monitorowania ruchu botów.

Proxy phishingowe w czasie rzeczywistym

W ataku typu real-time phishing proxy (RTPP) oszuści wykorzystują wiadomości phishingowe, aby nakłonić użytkowników do odwiedzenia kontrolowanej przez atakującego witryny. Taka strona wygląda jak zaufana witryna. Przestępcy zachęcają użytkownika do wprowadzenia swoich danych uwierzytelniających i zatwierdzenia logowania za pomocą drugiego czynnika. Nie ma znaczenia, czy jest to wiadomość SMS, czy powiadomienie push. RTPP przekazuje dane umożliwiające logowanie do aplikacji docelowej i zapewnia dostęp, który wykorzystują cyberprzestępcy włamujący się do upatrzonego systemu.

Bombardowanie MFA

W atakach bombowych MFA atakujący manipuluje użytkownika, aby podał mu swój kod autoryzujący, wysyłając wiele fałszywych próśb o kod. Działa to najlepiej przeciwko aplikacjom uwierzytelniającym, które opierają się na powiadomieniach push, ponieważ użytkownik może omyłkowo zatwierdzić logowanie. Atakujący czasami łączą bombardowanie MFA z różnymi działaniami inżynierii społecznej, które mają skłonić użytkowników do potwierdzenia powiadomienia push i przyznania dostępu.

Fałszowanie danych biometrycznych

Atakujący potrafią również ominąć uwierzytelnianie biometryczne. Nasze odciski palców nie są tak bezpieczne, jak może nam się wydawać. Zostawiamy je na prawie każdej gładkiej powierzchni, z której można je zebrać i zreplikować np. za pomocą drukarki 3D. Oczywiście, jest to bardzo rzadkie, ale eksperci zapewniają, że odnotowano już takie przypadki. Jednocześnie, badacze bezpieczeństwa zademonstrowali również fałszowanie rozpoznawania twarzy i głosu, a także skanowanie tęczówki. Chociaż producenci opracowali techniki zapobiegające fałszowaniu, takie jak kontrole żywotności w celu wykrywania prób ominięcia, każde urządzenie biometryczne może stać się podatne na ataki w miarę postępów w tej dziedzinie.

Zamiana kart SIM

Podmiana kart SIM lub e-SIM polega na wprowadzaniu w błąd operatorów komórkowych i przenoszenie lub replikowanie numeru telefonu na inne urządzenie. Przestępca gromadzi dane osobowe ofiary, a następnie składa wniosek o zduplikowanie numeru na kontrolowaną kartę SIM. Mając podgląd w usługi telefoniczne ofiary, oszust otrzymuje wiadomości przeznaczone dla użytkownika. W rezultacie może przechwycić hasła jednorazowe i ominąć MFA. Dlatego niektóre firmy wdrożyły dodatkowe procedury weryfikacji przed zatwierdzeniem takiej zmiany, co zwiększa poziom bezpieczeństwa.

Jak poprawić skuteczność MFA?

Stosowanie uwierzytelnienia dwuskładnikowego zwiększa bezpieczeństwo użytkownika, jednak nie stanowi idealnego remedium na zagrożenia w cyberprzestrzeni. Aby utrzymać zdolność MFA do ochrony użytkowników firmy powinny skupić się na edukowaniu swoich klientów i pracowników, a także utrudniać zadanie cyberprzestępcom.

Działania cyberobrony mają dwojaki charakter. Z jednej strony polegają na utrudnianiu działania przestępcom, z drugiej zaś dotyczą edukowania użytkowników, aby byli uważni na pułapki zastawiane przez cyberprzestępców.

Jednym ze sposobów wzmacniania skuteczności MFA jest ograniczenie aktywności botów.

Alternatywnym sposobem jest analiza ryzyka kontekstowego. Można je określić na podstawie adresu IP użytkownika, dostawcy usług internetowych, lokalizacji, pory logowania czy rodzaju urządzenia. Wszystkie te czynniki służą do kalkulacji ryzyka. Im wyższy wynik, tym bardziej rygorystyczne wymagania autoryzacji, które mogą zakończyć się wyłączeniem konta.

W przypadku uwierzytelnienia dwuskładnikowego istnieją na rynku narzędzia, takie jak na przykład F5 Distributed Cloud Bot Defense, które utrudniają grasowanie botów po sieci. Połączenie aktywnej obrony z stałym uświadamianiem pracowników i klientów to najlepsza metoda na wyeliminowanie słabych punktów.

Bartłomiej Anszperger, Solution Engineering Manager F5 w Polsce