Uwierzytelnianie wieloskładnikowe uchodzi za skuteczne i stosunkowo niedrogie zabezpieczenie przed phishingiem. Jednak cyberprzestępcy nauczyli się je obchodzić i uzyskiwaćać dostęp do firmowej infrastruktury IT.
– Cyberprzestępcy coraz częściej potrafią ominąć mechanizmy MFA – mówi Thorsten Rosendahl z Cisco Talos. – Obserwujemy wyraźny wzrost liczby ataków typu adversary-in-the-middle. To oznacza, że firmy nie mogą już polegać wyłącznie na dotychczasowych, sprawdzonych środkach ochrony – muszą ponownie je przemyśleć i dostosować.
Znane są też najnowsze techniki, narzędzia i luki wykorzystywane przez cyberprzestępców do obchodzenia zabezpieczeń MFA:
- Coraz więcej atakujących wykorzystuje technikę adversary-in-the-middle (AiTM). Zamiast tworzyć fałszywe strony logowania – jak w klasycznych kampaniach phishingowych – stosują odwrócone serwery proxy, które łączą się bezpośrednio ze stroną docelową. Ofiara myśli, że korzysta z usługi jak zwykle, ale w rzeczywistości przesyła dane przez serwer należący do atakującego. Gdy pojawia się prośba o uwierzytelnienie MFA i użytkownik ją zatwierdza, cyberprzestępca przechwytuje ciasteczko uwierzytelniające, uzyskując pełen dostęp do aktywnej sesji.
- Gotowe zestawy narzędzi typu Phishing-as-a-Service (PhaaS), takie jak Evilproxy czy Tycoon 2FA, obniżają próg wejścia dla cyberprzestępców. Dzięki szablonom, filtrom IP i user-agent oraz mechanizmom omijania zabezpieczeń, nawet osoby bez zaawansowanej wiedzy technicznej mogą przeprowadzać rozbudowane ataki na dużą skalę.
Tradycyjne metody ochrony przestają w związku z tym wystarczać. Filtry antyspamowe, szkolenia dla pracowników czy proste MFA oparte na haśle i powiadomieniu push można łatwo obejść, jeśli atakujący dysponuje odpowiednią infrastrukturą. Szczególnie niebezpieczna jest sytuacja, gdy po przejęciu dostępu przestępca dodaje własne urządzenia MFA do konta – taki krok często pozostaje niezauważony.
Kluczowa jest prewencja
Organizacje, które inwestują w trwałe i odporne metody uwierzytelniania, lepiej radzą sobie z wyrafinowanymi technikami phishingowymi, znacząco zwiększając poziom bezpieczeństwa i ograniczając pole działania cyberprzestępców.
Jednym z najbardziej obiecujących rozwiązań jest WebAuthn – standaryzowana, bezhasłowa metoda uwierzytelniania oparta na kryptografii publicznej. MFA w tej wersji wykorzystuje klucze kryptograficzne powiązane z oryginalną domeną witryny, co praktycznie uniemożliwia ich podrobienie przez fałszywe strony czy serwery proxy. W praktyce WebAuthn jest rzadko stosowane w firmach. Eksperci zalecają ponowną ocenę strategii MFA i oferuje wsparcie w dostosowaniu ich do nowych wyzwań – od nowoczesnej analizy sieci IT, przez ochronę aplikacji opartych na AI, po kompleksowe architektury bezpieczeństwa w modelu Zero Trust.
Źródło: mat. prasowe