Cum pot atacatori sa ocoleasca MFA?

Share This Post

In comunicările anterioare, am tot punctat ca una dintre cele mai bune metode de a-ți proteja datele (atât ca business, dar și personal) este implementarea MFA (multi factor autentificator/autentificare in mai mulți pași). Dacă nu ești familiarizat cu acest termen, este un nivel adițional de securitate atunci când încerci să accesezi un cont, indiferent de tipul acestuia.

De exemplu, după ce ai introdus user-ul și parola, vei primi un SMS cu un cod care va garanta că ești proprietarul contului respectiv. Vei putea accesa contul, doar după ce ai introdus codul primit.

De ce este acesta un sistem sigur? Pentru ca un atacator ar trebui să obțină accesul la telefonul tău mobil, pe lângă user-ul și parola în sine.

Acesta funcționalitate vine ‚by default’ în toate serviciile și produsele serioase. De exemplu, în Microsoft 365, acesta este un pilon esențial, ușor configurabil, care asigură protecția contului.

Bun, dar asta nu înseamnă că nu există metode de a trece peste MFA. Iată care sunt acestea:

 

Atacuri AITM(Adversary-in-the-middle) – este un tip de atac, care se bazează pe faptul că victima accesează o rețea compromisă (Wi-Fi-ul de la o cafenea) sau o aplicație/site clona.

Imaginează-ți ca primești un link către o postare pe Facebook, când o accesezi, primești notificarea ca nu ești autentificat. Introduci user-ul și parola, primești codul MFA și apoi ești redirecționat către conținutul dorit.

Ei bine, pagina de login Facebook era doar o clona, iar in spate, atacatorii introduceau manual datele pe care tu le ofereai (inclusiv codul prin SMS) in Facebook-ul oficial.

 

MFA prompt bombing – spuneam ca unul dintre tipurile de MFA este codul primit prin SMS, dar există alte tipuri bazate pe o aplicație pe care o instalezi pe telefonul mobil. În funcție de compania la care ți-ai făcut cont-ul, aceștia folosesc aplicația MFA diferit. Unii cer un cod din aplicație, unii iți trimit o notificare unde trebuie să alegi dintre 3 numere, iar alții doar o notificare de tip da/nu.

După cum spune și numele, această metodă ii bombardează pe utilizatori cu notificări de a accepta login-ul și se bazează pe faptul că pentru a opri notificările, utilizatorul va apăsa pe da.

 

Service desk attaks – un atac de tip 100% social. Atacatorii contactează centrul de suport al companiilor unde ai contul deschis, după ce te-au spionat o perioada mare de timp și după ce s-au familiarizat cu procesul de resetare a MFA al companiilor respective.

Știind aceste date, cunoscând proces-ul și creând un cadru ‚urgent’ (un copil pe fundal care plânge poate face minuni) aceștia pot păcăli cu ușurința un reprezentant call-center care de cele mai multe ori este un student fără experiență.

 

SIM swapping – o metodă asemănătoare cu cea de mai sus. Doar ca de data aceasta sunt vizate conturile protejate de MFA bazate pe cod SMS. În această situație atacatorii contactează provider-ul de telefonie mobilă, impersonând victima. Folosind tehnicile descrise mai sus reușesc să transfere SIM-ul sau să creeze un eSIM și să obțină acces la numărul de telefon, deci la codurile venite pe acel număr.

 

E obligatoriu in zilele noastre sa folosim MFA, dar la fel de important este să știm cum funcționează si cum această metodă poate fii exploatată de hackeri. Rămâne valabil faptul că securitatea are nevoie de atenția utilizatorului pentru a rămâne eficienta.

Daca vrei sa înveți mai multe despre securitate, contactează-ne folosind formularul de mai jos!

More To Explore