چهار روش مهندسی‌ اجتماعی جهت دور زدن MFA

استفاده از احراز هویت چند عاملی (MFA) در کنار گذرواژه‌ها (passwords) به‌عنوان لایه‌ای ضروری برای محافظت در برابر اقدامات ناامن و خراب‌کارانه است. این در حالیست که MFA خود مخاطراتی به‌همراه دارد و قابل دور زدن است. با افشای اطلاعات گذرواژه توسط روش‌هایی، MFA برای مهاجمین قابل دور زدن است. این اهمیت استفاده از گذرواژه قوی به‌عنوان بخشی از لایه‌ی دفاعی را بیش‌تر مشخص می‌کند. در ادامه چهار روش مهندسی ‌اجتماعی جهت دور زدن MFA توسط مهاجمین شرح داده می‌شود. 

1-    حملات دشمن میانی (Adversary-in-the-middle (AITM) attacks)
حملات AITM کاربران را با این تصور که در حال ورود به یک شبکه، برنامه یا وب‌سایت واقعی هستند، فریب می‌دهد و اطلاعات خود را در اختیار یک کلاهبردار قرار می‌دهند. این حملات به هکرها اجازه می‌دهد رمزهای‌عبور را رهگیری (intercept) کرده و اقدامات امنیتی، از جمله دستکاری درخواست‌های MFA را انجام دهند. ارسال یک ایمیل فیشینگ و فریب کاربر جهت کلیک بر روی پیوند موجود در ایمیل و هدایت او به یک وب‌سایت جعلی برای جمع‌آوری اطلاعات اعتبارنامه‌های ورود (login credentials)، مثالی برای این روش است. در حالت ایده‌آل MFA باید از این حملات جلوگیری کند. اما مهاجمین با استفاده از روش 2FA pass-on، بمحض وارد نمودن اطلاعات ورود توسط قربانی در سایت جعلی، این اطلاعات را به سرقت برده و در سایت اصلی وارد می‌کنند. قربانی با تایید درخواست مهاجم دسترسی کامل را به او می‌دهد. این یک روش رایج و مورد استفاده برای گروه‌هایی مانند Storm-1167 است که به ساختن صفحات احراز هویت جعلی مایکروسافت برای جمع‌آوری اعتبارنامه‌ها معروف شده است. همچنین با ایجاد یک صفحه فیشینگ دوم برای مرحله MFA که مانند فرآیند ورود مایکروسافت است، از قربانی می‌خواهد که کد MFA  خود را وارد کند و به مهاجمان دسترسی دهد. با دسترسی مهاجمین به یک حساب ایمیل معتبر، از آن به‌عنوان یک پلتفرم جهت انجام یک حمله فیشینگ چندمرحله‌ای استفاده می‌کنند.
2-    بمباران فوری(prompt bombing)MFA 
این روش از ویژگی ارسال تعداد زیادی اعلان (notification) در برنامه‌های احراز هویت استفاده می‌کند. پس از به خطر افتادن رمزعبور، مهاجمان تلاش می‌کنند تا وارد سیستم قربانی شوند. برای این منظور یک اعلان MFA به دستگاه قربانی ارسال می‌کنند تا کاربر یا آن را با یک درخواست واقعی اشتباه می‌گیرد و می‌پذیرد یا از درخواست‌های پی‌درپی اعلان‌ها ناامید می‌شود و یکی را پذیرفته تا دریافت اعلان‌ها متوقف شود. 
در یک تهدید امنیتی توسط گروه 0ktapus ، با دسترسی به اعتبارنامه ورود Uber از طریق پیامک فیشینگ، فرآیند احراز هویت را از طریق ماشینی که تحت کنترل خود داشتند ادامه دادند و بلافاصله درخواست یک کد احراز هویت چند عاملی (MFA) را ارسال کردند. سپس با جعل هویت یکی از اعضای تیم امنیتی Uber درSlack ، را متقاعد کردند که اعلانMFA  را در تلفن خود بپذیرد.
3-    حملات میز خدمت (Service desk)
مهاجمان با تظاهر به فراموش کردن رمزعبور، از طریق تماس‌های تلفنی، helpdesks را جهت دور زدن MFA فریب می‌دهند. اگر عوامل helpdesks رویه‌های راستی ‌آزمایی مناسبی نداشته باشند، ممکن است ناآگاهانه به مهاجمان امکان ورود به محیط سازمان خود را بدهند. MGM Resorts  یک نمونه حمله برای این روش می‌باشد که در آن، گروهScattered Spider  با فریب دادن service desk (میز خدمت) طی یک تماس تلفنی رمز عبور خود را بازنشانی کردند و اجازه ورود و راه‌اندازی یک حمله باج‌افزار را پیدا کردند. مهاجمان تلاش می‌کنند از طریق تنظیمات بازیابی و رویه‌های پشتیبان‌گیری، برای دور زدن MFA  و بهره‌برداری، service desk (میزهای خدمت) را فریب دهند. گروه0ktapus  اگر در حمله بمباران فوری MFA ناموفق باشند، service desk (میز خدمت) یک سازمان را مورد هدف قرار می‌دهند.
4-    SIM swapping
از آن جایی که MFA اغلب به تلفن‌های همراه به‌عنوان ابزاری برای احراز هویت متکی است، می‌توان با استفاده از روشی به نام SIM swap از این موضوع بهره‌برداری کرد. در این روش مهاجمان ارائه‌دهندگان خدمات (service providers) را فریب می‌دهند تا سرویس‌های هدف و مورد نظر خود را به یک سیم‌کارت تحت کنترل خود منتقل کنند. سپس آن‌ها می‌توانند سرویس تلفن‌همراه و شماره‌تلفن هدف را در اختیار بگیرند و با رهگیری درخواست‌هایMFA ، به حساب‌ کاربران به‌صورت غیرمجاز دسترسی پیدا کنند. در سال 2022، مایکروسافت گزارشی را منتشر کرد که در آن روش‌های به کار گرفته شده توسط گروه LAPSUS$  را شرح می‌دهد. در این گزارش چگونگی استفاده از روش‌های مهندسی اجتماعی  توسط گروهLAPSUS$  برای ورود به سازمان‌های هدف توضیح داده شده است. یکی از روش‌های مورد علاقه این گروه، هدف قرار دادن کاربران با حملات SIM-swapping، همراه با بمباران فوری MFA و بازنشانی مجدد اعتبارنامه یک هدف از طریق مهندسی اجتماعی میز خدمت (help desk) است. موارد بیان شده تنها روش‌های دور زدن MFA نیست. روش‌های مختلف دیگری مانند: به خطر انداختن endpointsها، استخراج توکن‌های تولید شده، بهره‌برداری از  SSOو یافتن نقص‌های فنی اصلاح نشده وجود دارند. بنابراین نباید با راه‌اندازی  MFAاز اهمیت امنیت گذرواژه‌ها غافل بود. به خطر افتادن حساب کاربر غالبا به‌علت استفاده از رمزهای عبور ضعیف یا ناامن می‌باشد. هنگامی که مهاجم یک رمز عبور معتبر را به‌دست می‌آورد، می‌تواند بر روی دور زدن مکانیسم MFA تمرکز کند. همچنین یک رمز عبور قوی نمی‌تواند از کاربران محافظت کند، اگر از طریق یک رخنه یا با استفاده مجدد از رمز عبور به خطر بیفتد. حتی استفاده از passwordless برای سازمان‌ها کاملاً یک گزینه عملی و امن نیست.

توصیه‌های امنیتی
 با استفاده از ابزاری مانند Specops Password Policy، می‌توان خط‌مشی‌های گذرواژه Active Directory  قوی را جهت حذف کردن رمزهای عبور ضعیف اعمال کرد و به‌طور مداوم رمزهای عبور در معرض خطر استفاده مجدد یا فروش (sold) پس از حمله فیشینگ را اسکن کرد. این امر تضمین می‌کند که MFA  به‌عنوان یک لایه امنیتی اضافی عمل می‌کند.

منبع خبر:

https://thehackernews.com/2024/02/4-ways-hackers-use-social-engineering.html