استفاده از احراز هویت چند عاملی (MFA) در کنار گذرواژهها (passwords) بهعنوان لایهای ضروری برای محافظت در برابر اقدامات ناامن و خرابکارانه است. این در حالیست که MFA خود مخاطراتی بههمراه دارد و قابل دور زدن است. با افشای اطلاعات گذرواژه توسط روشهایی، MFA برای مهاجمین قابل دور زدن است. این اهمیت استفاده از گذرواژه قوی بهعنوان بخشی از لایهی دفاعی را بیشتر مشخص میکند. در ادامه چهار روش مهندسی اجتماعی جهت دور زدن MFA توسط مهاجمین شرح داده میشود.
1- حملات دشمن میانی (Adversary-in-the-middle (AITM) attacks)
حملات AITM کاربران را با این تصور که در حال ورود به یک شبکه، برنامه یا وبسایت واقعی هستند، فریب میدهد و اطلاعات خود را در اختیار یک کلاهبردار قرار میدهند. این حملات به هکرها اجازه میدهد رمزهایعبور را رهگیری (intercept) کرده و اقدامات امنیتی، از جمله دستکاری درخواستهای MFA را انجام دهند. ارسال یک ایمیل فیشینگ و فریب کاربر جهت کلیک بر روی پیوند موجود در ایمیل و هدایت او به یک وبسایت جعلی برای جمعآوری اطلاعات اعتبارنامههای ورود (login credentials)، مثالی برای این روش است. در حالت ایدهآل MFA باید از این حملات جلوگیری کند. اما مهاجمین با استفاده از روش 2FA pass-on، بمحض وارد نمودن اطلاعات ورود توسط قربانی در سایت جعلی، این اطلاعات را به سرقت برده و در سایت اصلی وارد میکنند. قربانی با تایید درخواست مهاجم دسترسی کامل را به او میدهد. این یک روش رایج و مورد استفاده برای گروههایی مانند Storm-1167 است که به ساختن صفحات احراز هویت جعلی مایکروسافت برای جمعآوری اعتبارنامهها معروف شده است. همچنین با ایجاد یک صفحه فیشینگ دوم برای مرحله MFA که مانند فرآیند ورود مایکروسافت است، از قربانی میخواهد که کد MFA خود را وارد کند و به مهاجمان دسترسی دهد. با دسترسی مهاجمین به یک حساب ایمیل معتبر، از آن بهعنوان یک پلتفرم جهت انجام یک حمله فیشینگ چندمرحلهای استفاده میکنند.
2- بمباران فوری(prompt bombing)MFA
این روش از ویژگی ارسال تعداد زیادی اعلان (notification) در برنامههای احراز هویت استفاده میکند. پس از به خطر افتادن رمزعبور، مهاجمان تلاش میکنند تا وارد سیستم قربانی شوند. برای این منظور یک اعلان MFA به دستگاه قربانی ارسال میکنند تا کاربر یا آن را با یک درخواست واقعی اشتباه میگیرد و میپذیرد یا از درخواستهای پیدرپی اعلانها ناامید میشود و یکی را پذیرفته تا دریافت اعلانها متوقف شود.
در یک تهدید امنیتی توسط گروه 0ktapus ، با دسترسی به اعتبارنامه ورود Uber از طریق پیامک فیشینگ، فرآیند احراز هویت را از طریق ماشینی که تحت کنترل خود داشتند ادامه دادند و بلافاصله درخواست یک کد احراز هویت چند عاملی (MFA) را ارسال کردند. سپس با جعل هویت یکی از اعضای تیم امنیتی Uber درSlack ، را متقاعد کردند که اعلانMFA را در تلفن خود بپذیرد.
3- حملات میز خدمت (Service desk)
مهاجمان با تظاهر به فراموش کردن رمزعبور، از طریق تماسهای تلفنی، helpdesks را جهت دور زدن MFA فریب میدهند. اگر عوامل helpdesks رویههای راستی آزمایی مناسبی نداشته باشند، ممکن است ناآگاهانه به مهاجمان امکان ورود به محیط سازمان خود را بدهند. MGM Resorts یک نمونه حمله برای این روش میباشد که در آن، گروهScattered Spider با فریب دادن service desk (میز خدمت) طی یک تماس تلفنی رمز عبور خود را بازنشانی کردند و اجازه ورود و راهاندازی یک حمله باجافزار را پیدا کردند. مهاجمان تلاش میکنند از طریق تنظیمات بازیابی و رویههای پشتیبانگیری، برای دور زدن MFA و بهرهبرداری، service desk (میزهای خدمت) را فریب دهند. گروه0ktapus اگر در حمله بمباران فوری MFA ناموفق باشند، service desk (میز خدمت) یک سازمان را مورد هدف قرار میدهند.
4- SIM swapping
از آن جایی که MFA اغلب به تلفنهای همراه بهعنوان ابزاری برای احراز هویت متکی است، میتوان با استفاده از روشی به نام SIM swap از این موضوع بهرهبرداری کرد. در این روش مهاجمان ارائهدهندگان خدمات (service providers) را فریب میدهند تا سرویسهای هدف و مورد نظر خود را به یک سیمکارت تحت کنترل خود منتقل کنند. سپس آنها میتوانند سرویس تلفنهمراه و شمارهتلفن هدف را در اختیار بگیرند و با رهگیری درخواستهایMFA ، به حساب کاربران بهصورت غیرمجاز دسترسی پیدا کنند. در سال 2022، مایکروسافت گزارشی را منتشر کرد که در آن روشهای به کار گرفته شده توسط گروه LAPSUS$ را شرح میدهد. در این گزارش چگونگی استفاده از روشهای مهندسی اجتماعی توسط گروهLAPSUS$ برای ورود به سازمانهای هدف توضیح داده شده است. یکی از روشهای مورد علاقه این گروه، هدف قرار دادن کاربران با حملات SIM-swapping، همراه با بمباران فوری MFA و بازنشانی مجدد اعتبارنامه یک هدف از طریق مهندسی اجتماعی میز خدمت (help desk) است. موارد بیان شده تنها روشهای دور زدن MFA نیست. روشهای مختلف دیگری مانند: به خطر انداختن endpointsها، استخراج توکنهای تولید شده، بهرهبرداری از SSOو یافتن نقصهای فنی اصلاح نشده وجود دارند. بنابراین نباید با راهاندازی MFAاز اهمیت امنیت گذرواژهها غافل بود. به خطر افتادن حساب کاربر غالبا بهعلت استفاده از رمزهای عبور ضعیف یا ناامن میباشد. هنگامی که مهاجم یک رمز عبور معتبر را بهدست میآورد، میتواند بر روی دور زدن مکانیسم MFA تمرکز کند. همچنین یک رمز عبور قوی نمیتواند از کاربران محافظت کند، اگر از طریق یک رخنه یا با استفاده مجدد از رمز عبور به خطر بیفتد. حتی استفاده از passwordless برای سازمانها کاملاً یک گزینه عملی و امن نیست.
توصیههای امنیتی
با استفاده از ابزاری مانند Specops Password Policy، میتوان خطمشیهای گذرواژه Active Directory قوی را جهت حذف کردن رمزهای عبور ضعیف اعمال کرد و بهطور مداوم رمزهای عبور در معرض خطر استفاده مجدد یا فروش (sold) پس از حمله فیشینگ را اسکن کرد. این امر تضمین میکند که MFA بهعنوان یک لایه امنیتی اضافی عمل میکند.
منبع خبر:
https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html
- 159