Ani vícefaktorové ověřování nemusí uživatelský účet zabezpečit. Kyberzločinci útočí MFA phishingem

Praha 2. února 2024– Organizace po celém světě ve velkém zavádějí vícefaktorové ověřování (MFA) v domnění, že uživatele ochrání před krádeží digitální identity. Jak dokazují poslední případy, ačkoliv je MFA velice důležitým bezpečnostním prvkem sloužícím k ověření uživatelské identity, musí uživatelé stále dodržovat jistou míru obezřetnosti při jejím používání. 

Zatímco MFA může amatérské kyberzločince odradit od běžných pokusů o kompromitaci uživatelských účtů, zkušenější útočníci je dokáží obejít pomocí několika taktik. Organizace by si toho měly být vědomy, aby zajistily nejúčinnější obranu proti útokům tohoto druhu. Mezi nejpoužívanější taktiky patří:

  • Phishing – hackeři mohou pomocí phishingových e-mailů oklamat uživatele, aby jim poskytli MFA ověřovací kód (T/OTP – Timebased/One-Time-Password).
  • Man-in-the-Middle (MitM) – při tomto typu útoku hackeři zachycují komunikaci mezi uživatelem a systémem MFA.
  • Malware – hackeři mohou pomocí malwaru ukrást přihlašovací údaje a MFA ze zařízení uživatele (T/OTP nebo „session cookies“).
  • Klonování/výměna SIM – hackeři přesvědčí mobilního operátora uživatele, aby přenesl telefonní číslo uživatele na novou SIM kartu.

Útoky mnohdy kombinují více technik

V rámci phishingového útoku útočník odešle uživateli e-mail s falešným odkazem, který vypadá jako oficiální e-mail z dané služby. Oběť, která otevře falešný odkaz nebo přílohu v domnění, že přistupuje k legitimní službě (např. přihlášení do internetového bankovnictví – IB) je přesměrována na podvrženou stránku IB portálu, která je plně ovládána útočníkem. Ten získá přístup k veškeré datové komunikaci probíhající mezi uživatelem a zdánlivým IB portálem.

Po získání přihlašovacích údajů může útočník tyto údaje automaticky vyplnit do legitimní služby a nic netušícího uživatele nakonec do jím požadované služby přesměrovat. Pomocí této taktiky MitM a AitM (Adversary-in-the-Middle) může útočník získat přihlašovací údaje a relační cookies. „V případě krádeže ověřovacího kódu ze zařízení uživatele (např. v rámci MFA autentifikátoru nebo SMS generovaného T/OTP kódu) lze využít dalších sofistikovaných typů útoků, včetně zmanipulování uživatele k instalaci aplikace obsahující malware, případně zneužití existujících zranitelností zařízení,“ vysvětluje Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron.

Kompromitováno bylo 8 000 účtů

K těmto útokům běžně dochází řadu let. Jak dokazuje nedávná zpráva expertů na kybernetickou bezpečnost z Group-IB, stovky skupin útočníků aktuálně používají vysoce pokročilou phishingovou sadu (soubor nástrojů a zdrojů, které pomáhají útočníkům provádět phishingové útoky), cílí na účty společnosti Microsoft a dosahují úspěchu. Hackerská skupina W3LL vyvinula phishingovou sadu, která dokáže obejít MFA a spolu s dalšími nástroji v poslední době kompromitovala více než 8 000 firemních účtů využívající technologii Microsoft 365. Firemní účty jsou pro útočníky obzvláště zajímavé, mohou totiž obsahovat obchodní tajemství. 

Tento phishing kit je vyvíjen minimálně od roku 2017. Za tu dobu došlo k jeho zdokonalení, čímž stoupl v oblibě a v současnosti ho používá více než 500 hackerských organizaci. „Těm se podařilo vytvořit zhruba 850 phishingových kampaní, které se snažily ukrást přihlašovací údaje Microsoft 365 z více než 56 000 účtů,“ uvádí Petr Kocmich. Výsledkem jsou milionové finanční škody a obrovské množství ukradených dat z cloudových služeb a počítačů uživatelů.

Nejslabším článkem zůstává uživatel

Hackerské nástroje jsou v poslední době kyberzločineckými skupinami připravovány tak, aby je mohli použít útočníci všech úrovní technických dovedností. Například W3LL má dokonce svůj vlastní obchod s aplikacemi, kde si útočníci mohou zakoupit různé typy nástrojů či modulů podle potřeb. Celkem je k dispozici 12 000 položek. Společnost Group-IB uvádí, že mezi říjnem 2022 a červencem 2023 prodala W3LL více než 3 800 položek s odhadovaným obratem přesahujícím 500 000 USD.

Jak se chránit před prolomením dvoufázového ověření

Organizace by měly nechat zaměstnance vyškolit, aby identifikovali phishingové e-maily a další taktiky sociálního inženýrství a vyhýbali se jim. Měli by používat i pokročilá zabezpečení e-mailových služeb a ochrany koncových stanic (např. EDR). Koncové stanice a mobilní zařízení by měly být pravidelně aktualizovány a záplatovány. Kromě toho by organizace měly zvážit použití pokročilejších metod MFA, jako je biometrická autentizace případně MFA založeno na FIDO2 standardu.

„Je potřeba si uvědomit, že nejslabším článkem v řetězci obrany proti kybernetickým útokům jsou i nadále uživatelé. Tento rostoucí trend signalizuje kritickou potřebu implementovat pokročilé metody zabezpečení e-mailových služeb, koncových bodů a MFA řešení, které je odolné vůči phishingu,“ zakončuje Petr Kocmich.

O společnosti Soitron

Soitron je IT integrátor inovativních řešení a technologií původem ze Slovenska. Dnes zaměstnává 850 lidí a jeho týmy pracují kromě Slovenska také v České republice, Rumunsku, Turecku, Bulharsku, Polsku a Velké Británii. Filozofií Soitronu je neustále se zlepšovat. Pomáhá klientům v různých odvětvích řídit jejich byznys efektivněji, rozvíjet ho a chránit před hrozbami online prostředí. Je dlouhodobým lídrem v oblasti IT infrastruktury a sítí, komunikačních řešení, IT služeb a IT outsourcingu. K dlouhodobým kompetencím Soitronu přibyly nové v oblasti internetu věcí (IoT), robotizace a automatizace, robotické procesní automatizace (RPA), umělé inteligence (AI), aplikací, cloudových řešení a vlastního security operations centra (SOC). Všechny tyto kompetence vedly k vytvoření vlastního IT konzultačního týmu, díky kterému dokáže porozumět byznysu a potřebám klientů s ohledem na rychlý vývoj technologií. Do jeho portfolia patří také řešení pro inteligentní policejní auta známá pod značkou Mosy a nová služba v oblasti kybernetické bezpečnosti – známá pod značkou Void.