FBI ostrzega, że techniki inżynierii społecznej mogą pomóc ominąć uwierzytelnianie wieloskładnikowe

Jakiś czas temu rozmawialiśmy o tym, jak przydatne mogą być systemy uwierzytelniania dwuskładnikowego i uwierzytelniania wieloskładnikowego oraz w jaki sposób mogą pomóc użytkownikom chronić swoje konta przed hakerami. Jednak z czasem specjaliści ds. Bezpieczeństwa cybernetycznego udowodnili, że żaden system nie jest niezwyciężony i że wszystkie środki bezpieczeństwa można ominąć, jeśli osoby atakujące dysponują środkami, środkami i determinacją. Najnowszy dowód tego został przedstawiony w ogłoszeniu FBI . Omawia zaobserwowane ataki FBI na systemy uwierzytelniania wieloskładnikowego i ostrzega, aby nie polegać zbytnio na dodatkowych warstwach zabezpieczeń. Czy to oznacza, że używanie uwierzytelniania wieloskładnikowego lub ustawianie silnych haseł to strata czasu? Odpowiedzi na te pytania można znaleźć w dalszej części tego postu na blogu. Ponadto w dalszej części tego artykułu mówimy o tym, jak hakerzy omijają uwierzytelnianie wieloskładnikowe i jak często zdarzają się takie ataki.

W jaki sposób hakerzy mogą ominąć uwierzytelnianie wieloskładnikowe?

Zgodnie z ostrzeżeniem FBI hakerzy omijają uwierzytelnianie wieloskładnikowe za pomocą popularnych technik inżynierii społecznej i ataków technicznych. Ogłoszenie wyraźnie ostrzegało o zamianie kart SIM , słabościach stron obsługujących uwierzytelnianie wieloskładnikowe oraz narzędziach hakerskich , takich jak Muraen i NecroBrowser .

Zamiana karty SIM , znana również jako oszustwo polegające na przeniesieniu na port, jest atakiem, podczas którego oszuści atakują lukę w systemie weryfikacji wymagającą kodu bezpieczeństwa, który powinien zostać odebrany przez telefon komórkowy. Aby przeprowadzić taki atak, cyberprzestępcy muszą przenieść numer telefonu ofiary na urządzenie należące do tej osoby. Większość firm telefonicznych świadczy takie usługi użytkownikom, którzy zgubili karty SIM i chcą zachować swoje stare numery telefoniczne. W związku z tym, aby skutecznie przeprowadzać ataki polegające na zamianie kart SIM, hakerzy muszą uzyskać wystarczającą ilość informacji o ofierze, której dotyczy atak, aby mogli podszyć się pod niego i przekonać jego dostawcę usług telefonicznych do przeniesienia wymaganego numeru telefonu na nową kartę SIM. Pamiętaj, że w przypadku sukcesu cyberprzestępców oryginalna karta SIM użytkownika powinna zostać zablokowana. Dlatego jeśli kiedykolwiek zauważysz, że karta SIM już nie działa, powinieneś jak najszybciej skontaktować się z firmą telefoniczną i sprawdzić, czy ktoś mógł nielegalnie podmienić kartę SIM.

Następnie mamy narzędzia hakerskie o nazwie Muraen i NecroBrowser . Zostały one wprowadzone na konferencji Hack-in-the-Box, która odbyła się w Amsterdamie w czerwcu 2019 r. Narzędzia zostały stworzone do automatycznych ataków phishingowych, które mogą ominąć uwierzytelnianie dwuskładnikowe. Podczas nich wspomniane narzędzia tworzą kopię strony internetowej, za pośrednictwem której można uzyskać dostęp do docelowego konta. Różnica między tradycyjnymi witrynami wyłudzającymi informacje a fałszywymi witrynami utworzonymi za pomocą narzędzi Muraen i NecroBrowser polega na tym, że późniejsze mogą żądać kodów weryfikacyjnych z oryginalnych stron. W ten sposób użytkownik próbujący zalogować się za pośrednictwem fałszywej witryny otrzyma kod weryfikacyjny z legalnej witryny. Po wprowadzeniu takiego kodu hakerzy mogą nie tylko użyć go do zalogowania się na docelowym koncie, ale także uzyskać pliki cookie sesji lub tokeny sesji, których mogą użyć do przyszłych logowań.

Jak często hakerzy omijają uwierzytelnianie wieloskładnikowe?

Jeśli śledzisz wiadomości o cyberbezpieczeństwie, możesz zauważyć, że od czasu do czasu badacze zgłaszają nowe ataki na systemy uwierzytelniania wieloskładnikowego. Być może przeczytałeś również, że nie ma danych statystycznych na temat takich ataków, ponieważ rzadko się zdarzają. Jest kilka powodów. Po pierwsze, pomimo zaleceń ekspertów ds. Cyberbezpieczeństwa dotyczących korzystania z uwierzytelniania wieloskładnikowego, wciąż jest wielu użytkowników, którzy nie zawracają sobie głowy włączaniem go. Oznacza to, że cyberprzestępcy nie muszą atakować kont chronionych za pomocą takich środków bezpieczeństwa, ponieważ istnieje wiele mniej chronionych celów. Po drugie, włamanie się na konto przy użyciu uwierzytelniania wieloskładnikowego nie jest tak łatwe, jak włamanie się na konto chronione tylko hasłem. Takie ataki wymagają więcej czasu, pieniędzy i bardziej zaawansowanych narzędzi hakerskich. Innymi słowy, podczas atakowania mocno chronionego konta firmy może być bardziej opłacalne, wielu hakerom łatwiej i bardziej opłaca się polować na słabsze cele.

Czy nadal zaleca się stosowanie uwierzytelniania wieloskładnikowego?

Krótko mówiąc, odpowiedź brzmi absolutnie tak. Mimo że uwierzytelnianie wieloskładnikowe może czasami nie zabezpieczać kont, nadal jest najlepszym rozwiązaniem, aby chronić siebie online. Jak wspomniano wcześniej, takie ataki rzadko się zdarzają, ponieważ wielu cyberprzestępców wybiera bardziej dostępne cele. Oczywiście, jeśli więcej użytkowników zacznie korzystać z uwierzytelniania wieloskładnikowego, hakerzy mogą nie mieć innego wyjścia, jak tylko atakować konta chronione przy użyciu tego uwierzytelnienia w przyszłości. Jednak na razie dodatkowe warstwy zabezpieczeń funkcji Multi-Factor Authentication mogą chronić przed tradycyjnymi atakami typu phishing i innymi atakami zaprojektowanymi tylko dla kont chronionych hasłem.

Czy użycie silnego hasła jest konieczne, jeśli włączysz uwierzytelnianie wieloskładnikowe?

Na koniec możesz się zastanawiać, czy nie ma sensu używać silnego hasła, jeśli włączysz uwierzytelnianie wieloskładnikowe. Znów odpowiedź brzmi „tak”. Jeśli chodzi o ochronę danych osobowych, konta bankowego lub czegokolwiek innego wrażliwego, co hakerzy mogliby znaleźć na twoich kontach, powinieneś skorzystać z wszelkich środków bezpieczeństwa, jakie możesz zastosować. Poza tym nadal istnieją witryny, platformy i aplikacje, które nie zapewniają uwierzytelniania wieloskładnikowego. W takich przypadkach bezpieczeństwo kont może zależeć od ustawionego hasła.

Bez wątpienia najłatwiejszym sposobem na stworzenie silnych haseł i zapewnienie, że nigdy ich nie zapomnisz, jest zatrudnienie menedżera haseł. Aby upewnić się, że dane logowania są również chronione, zalecamy użycie dedykowanego menedżera haseł, a nie zintegrowanych funkcji dostarczanych z przeglądarkami. Jeśli potrzebujesz narzędzia zapewniającego bezpieczeństwo i zapewniającego wiele przydatnych funkcji bezpłatnie, zalecamy wypróbowanie programu Cyclonis Password Manager . Działa na wszystkich głównych systemach operacyjnych. Ponadto może generować silne hasła i zapamiętywać je dla Ciebie, a także automatycznie logować się na twoje konta. Aby dowiedzieć się o wszystkich funkcjach, które może on zaoferować, powinieneś przeczytać tutaj .

Podsumowując, nawet jeśli można ominąć uwierzytelnianie wieloskładnikowe, nadal wydaje się to najlepszym sposobem ochrony swoich kont. Oczywiście istnieje wiele opcji uwierzytelniania wieloskładnikowego, a niektóre są bezpieczniejsze niż inne. Dlatego jeśli jesteś w stanie dokonać wyboru, powinieneś zbadać wszystkie dostępne opcje i wybrać tę, która jest uważana za najsilniejszą. Ponadto, zamiast ślepo polegać na dodatkowych warstwach bezpieczeństwa, nigdy nie powinieneś tracić czujności i uważać na strony phishingowe, a także upewnić się, że hakerzy nie mogą łatwo zamienić karty SIM. Ponadto nigdy nie boli być na bieżąco z wiadomościami na temat cyberbezpieczeństwa i dowiedzieć się, jak uniknąć stania się ofiarą najnowszych oszustw.