Erişim güvenliği söz konusu olduğunda, diğerlerinin üzerinde bir öneri öne çıkıyor: çok faktörlü kimlik doğrulama (MFA). Yalnızca şifrelerin bilgisayar korsanları için basit bir iş olduğu göz önüne alındığında MFA, ihlallere karşı önemli bir koruma katmanı sağlar. Ancak MFA’nın kusursuz olmadığını unutmamak önemlidir. Baypas edilebilir ve çoğu zaman öyledir.
Bir parolanın güvenliği ihlal edilirse, MFA’nın ek korumasını aşmak isteyen bilgisayar korsanlarının kullanabileceği çeşitli seçenekler vardır. Bilgisayar korsanlarının MFA’yı ihlal etmek için başarıyla kullandıkları dört sosyal mühendislik taktiğini inceleyeceğiz ve katmanlı savunmanın bir parçası olarak güçlü bir parolaya sahip olmanın önemini vurgulayacağız.
1. Ortadaki düşman (AITM) saldırıları
AITM saldırıları, kullanıcıları gerçek bir ağa, uygulamaya veya web sitesine giriş yaptıklarına inandırmayı içerir. Ama gerçekte bilgilerini sahtekar bir benzere veriyorlar. Bu, bilgisayar korsanlarının parolaları ele geçirmesine ve MFA istemleri de dahil olmak üzere güvenlik önlemlerini değiştirmesine olanak tanır. Örneğin, hedef odaklı bir kimlik avı e-postası, bir çalışanın gelen kutusuna güvenilir bir kaynak gibi davranarak gelebilir. Gömülü bağlantıya tıklamak onları bilgisayar korsanlarının oturum açma bilgilerini topladığı sahte bir web sitesine yönlendirir.
İdeal olarak MFA’nın ek bir kimlik doğrulama faktörü gerektirerek bu saldırıları engellemesi gerekirken, bilgisayar korsanları ‘2FA geçişi’ olarak bilinen bir teknik kullanabilir. Kurban sahte siteye kimlik bilgilerini girdiğinde, saldırgan da aynı bilgileri derhal meşru siteye girer. Bu, kurbanın öngördüğü ve kolayca onayladığı meşru bir MFA isteğini tetikler ve farkında olmadan saldırgana tam erişim sağlar.
Bu, aşağıdaki gibi tehdit gruplarının ortak taktiğidir: Fırtına-1167Kimlik bilgilerini toplamak için sahte Microsoft kimlik doğrulama sayfaları hazırladığı bilinen . Ayrıca Microsoft oturum açma sürecinin MFA adımını taklit eden ikinci bir kimlik avı sayfası oluşturarak kurbanın MFA kodunu girmesini ve saldırganlara erişim izni vermesini sağlar. Buradan meşru bir e-posta hesabına erişebilirler ve bunu çok aşamalı bir kimlik avı saldırısı için platform olarak kullanabilirler.
2. MFA anında bombalama
Bu taktik, modern kimlik doğrulama uygulamalarındaki anlık bildirim özelliğinden yararlanır. Saldırganlar, parolayı ele geçirdikten sonra oturum açmaya çalışır ve meşru kullanıcının cihazına bir MFA istemi gönderir. Kullanıcının ya bunu gerçek bir istemle karıştırıp kabul etmesine ya da sürekli istemlerden hayal kırıklığına uğrayıp bildirimleri durdurmak için birini kabul etmesine güvenirler. MFA’nın anında bombalaması olarak bilinen bu teknik önemli bir tehdit oluşturuyor.
Dikkate değer bir olayda, bilgisayar korsanları 0ktapus Grup, SMS kimlik avı yoluyla bir Uber yüklenicisinin oturum açma kimlik bilgilerini ele geçirdi, ardından kontrol ettikleri bir makineden kimlik doğrulama işlemine devam etti ve hemen çok faktörlü kimlik doğrulama (MFA) kodu talep etti. Onlar sonra bir Uber güvenlik ekibi üyesinin kimliğine büründü Slack’te yükleniciyi telefonundaki MFA anlık bildirimini kabul etmeye ikna etmek.
3. Hizmet masası saldırıları
Saldırganlar, şifre unutuyormuş numarası yaparak ve telefon çağrıları yoluyla erişim sağlayarak yardım masalarını MFA’yı atlatmaları için kandırırlar. Hizmet masası temsilcileri uygun doğrulama prosedürlerini uygulama konusunda başarısız olursa, farkında olmadan bilgisayar korsanlarına kuruluşlarının ortamına ilk giriş noktası verebilirler. Yakın zamandaki bir örnek MGM Resorts saldırısıydı. Dağınık Örümcek Bilgisayar korsanı grubu, parola sıfırlama için hizmet masasıyla hileli bir şekilde iletişime geçerek onlara oturum açıp fidye yazılımı saldırısı başlatmaları için bir dayanak sağladı.
Bilgisayar korsanları ayrıca MFA’yı atlatmak için hizmet masalarını manipüle ederek kurtarma ayarlarından ve yedekleme prosedürlerinden yararlanmaya çalışıyor. 0ktapus MFA’nın anlık bombalamalarının başarısız olması durumunda, bir kuruluşun hizmet masasını hedef almaya başvurdukları biliniyor. Telefonlarının çalışmadığını veya kaybolduğunu iddia ederek hizmet masalarıyla iletişime geçecekler ve ardından saldırgan tarafından kontrol edilen yeni bir MFA kimlik doğrulama cihazına kaydolma talebinde bulunacaklar. Daha sonra ele geçirilen cihaza bir şifre sıfırlama bağlantısı göndererek kuruluşun kurtarma veya yedekleme sürecinden yararlanabilirler. Hizmet masası güvenlik açıklarından mı endişeleniyorsunuz? Kendinizinkini nasıl güvence altına alacağınızı öğrenin.
4. SIM değiştirme
Siber suçlular, MFA’nın kimlik doğrulama aracı olarak genellikle cep telefonlarına güvendiğini biliyor. Bilgisayar korsanlarının hizmet sağlayıcılarını, bir hedefin hizmetlerini kendi kontrolleri altındaki bir SIM karta aktarmaları konusunda kandırdıkları ‘SIM takası’ adı verilen bir teknikle bu durumdan yararlanabilirler. Daha sonra hedefin cep telefonu hizmetini ve telefon numarasını etkili bir şekilde ele geçirerek MFA istemlerini ele geçirmelerine ve hesaplara yetkisiz erişim elde etmelerine olanak tanıyabilirler.
2022’deki bir olaydan sonra Microsoft, tehdit grubunun kullandığı taktikleri detaylandıran bir rapor yayınladı LAPSUS $. Rapor nasıl olduğunu açıkladı LAPSUS $ Hedef kuruluşlarda ilk tutunma noktasını kazanmak için kapsamlı sosyal mühendislik kampanyaları düzenlemektedir. En sevdikleri tekniklerden biri, MFA anında bombalamanın yanı sıra SIM değiştirme saldırılarıyla kullanıcıları hedeflemek ve yardım masası sosyal mühendisliği yoluyla bir hedefin kimlik bilgilerini sıfırlamaktır.
MFA’ya tam olarak güvenemezsiniz; şifre güvenliği hala önemlidir
Bu, MFA’yı atlamanın yollarının özel bir listesi değildi. Uç noktalardan ödün vermek, oluşturulan belirteçleri dışa aktarmak, SSO’dan yararlanmak ve yama yapılmamış teknik eksiklikleri bulmak gibi başka yollar da vardır. MFA’yı kurmanın kuruluşların parola güvenliğini tamamen unutabileceği anlamına gelmediği açıktır.
Hesabın ele geçirilmesi hâlâ sıklıkla zayıf veya güvenliği ihlal edilmiş şifrelerle başlıyor. Saldırgan geçerli bir parola elde ettikten sonra odağını MFA mekanizmasını atlamaya kaydırabilir. Güçlü bir parola bile, bir ihlal veya parolanın yeniden kullanılması yoluyla ele geçirilmişse kullanıcıları koruyamaz. Çoğu kuruluş için tamamen şifresiz geçiş pratik bir seçenek olmayacaktır.
Specops Parola Politikası gibi bir araçla, zayıf parolaları ortadan kaldırmak için güçlü Active Directory parola politikalarını uygulayabilir ve ihlallerden, parolaların yeniden kullanılmasından veya bir kimlik avı saldırısından sonra satılmasından kaynaklanan güvenliği ihlal edilmiş parolaları sürekli olarak tarayabilirsiniz. Bu, MFA’nın yalnızca sihirli bir çözüm olarak güvenilmek yerine, amaçlandığı gibi ek bir güvenlik katmanı olarak hizmet etmesini sağlar. Specops Şifre Politikasının kuruluşunuzun özel ihtiyaçlarına nasıl uyabileceğini keşfetmek istiyorsanız lütfen bizimle iletişime geçin.