Когда пользователь устал, или Как хакеры обходят MFA
В начале января от действий скамера пострадала Mandiant — ИБ-дочка Google. Злоумышленник взломал аккаунт компании в Twitter* и использовал его для криптографического мошенничества. Оказалось, что в инциденте виноваты сотрудники Mandiant и некий «переходный период». Специалисты банально запутались в новых правилах MFA на площадке и в том, кто за нее отвечает.
На первый взгляд, пример доказывает, как важно использовать MFA в корпоративных аккаунтах и контролировать зоны ответственности. Но если копнуть глубже, то оказывается, что многофакторка — не панацея при защите учетных записей. Ее можно обойти, и есть множество техник, которые неплохо работают на практике.
Вредоносное ПО и кража данных
Недавно на Malwarebytes рассказали, как обойти MFA у Google. Если коротко: достаточно украсть аутентификационный токен, например, с помощью инфостилера — трояна для сбора данных из системы жертвы. Последствия такой атаки могут быть крайне печальными, особенно для корпоративных аккаунтов. Жертвам не поможет даже смена пароля — пишет Алексей Лукацкий из Positive Technologies.
Пример такого зловреда — Meduza Stealer. Он извлекает данные из сотни браузеров, криптокошельков, менеджеров паролей и, конечно, приложений MFA. Причем инструмент распространяется по подписке и постоянно обновляет свои сигнатуры, из-за чего антивирусам бывает сложно его обнаружить.
Вообще ПО для перехвата данных — один из самых популярных способов обхода аутентификации, и многофакторки в частности. Схема стара, как хакерский мир. Но она по-прежнему работает.
Благодаря вредоносам злоумышленники продолжают вылавливать, например, чужие электронные письма. Само собой, часто они делают это, чтобы получить одноразовые коды доступа к нужному аккаунту. Пользователь при этом обычно не видит сообщения и обнаруживает кражу учетки слишком поздно.
Точно так же устроен перехват уведомлений из приложения, которое проводит аутентификацию на смартфоне жертвы. Шпионское ПО по-прежнему устанавливают на мобильных устройствах, чтобы отлавливать SMS с данными MFA. С той же целью хакеры выдают себя за пользователя, заказывают новую SIM-карту и получают доступ к сообщениям с кодами.
Также часто для взлома учеток используют кейлоггеры — утилиты, которые устанавливаются на устройствах жертв и регистрируют нажатия клавиш при вводе логинов-паролей. Именно так злоумышленники получили доступ к данным клиентов LastPass — платной платформы для хранения паролей. О причинах инцидента стало известно осенью 2023 года. Оказалось, что для взлома хранилищ LastPass хакеры установили кейлоггер на личный компьютер одного из инженеров компании.
Чтобы обойти любой вариант аутентификации, иногда достаточно получить чужие cookies. Нужно лишь заразить устройство жертвы все тем же Emotet или другим зловредом. После чего остается только завладеть cookie-файлами, связанными с аутентификацией пользователей. А далее все зависит от амбиций хакера: данные либо используют сразу, либо выставляют оптом на продажу в даркнете.
В такую неприятную историю попала компания Electronic Arts, один из лидеров мировой гейм-индустрии. Группа вымогателей, известная как Lapsus$, утверждала, что приобрела украденные cookie-файлы и получила доступ к Slack жертвы. В итоге злоумышленники получили 780 ГБ данных EA, включая исходный код игры и графического движка. Помимо купленных cookie-файлов преступники также активно использовали методы социальной инженерии. В частности, на одном из этапов атаки хакерам удалось обмануть техподдержку компании.
Социальная инженерия: старые и новые техники
Мир меняется, а основные принципы мошенничества в Сети — нет. Многие продолжают звонить и писать жертвам. И по-прежнему они убеждают граждан, что кто-то взломал учетку и нужно провести сброс пароля на своей стороне. Дальше все до жути просто: приходит заветный набор символов, и жертва сама диктует код злоумышленнику.
Все чаще преступные схемы разворачиваются по принципу фишинга через поддельные страницы входа и веб-сайты. В прошлом году, например, на эту удочку попался Reddit. Злоумышленники захватили данные сотрудников, в том числе пароли и токены двухфакторной аутентификации.
Технический директор Reddit Кристофер Слоу описал ситуацию так: «Поздно вечером 5 февраля 2023 года нам стало известно о сложной фишинговой кампании, нацеленной на сотрудников Reddit. Как и в большинстве фишинговых кампаний, злоумышленник рассылал правдоподобно выглядящие уведомления. Они направляли сотрудников на веб-сайт, который клонировал поведение нашего шлюза интрасети и позволил украсть учетные данные и токены второго фактора».
Более современный инструмент социальной инженерии — метод MFA-усталости (MFA Fatigue или MFA push spam). Вариант вполне эффективный и не требует особых вложений, в том числе во вредоносное ПО и фишинговые инструменты.
Типичная атака MFA Fatigue проходит так:
Компания настраивает многофакторку на отправку push.
Если кто-то пытается войти в сеть с какими-то учетными данными, то пользователь получает уведомления на свое мобильное устройство. Дальше он либо подтверждает вход, либо отклоняет его.
Хакер запускает скрипт, который берет множество скомпрометированных учеток и начинает подставлять их в поля для входа.
Сотрудник получает огромное число уведомлений, которые идут круглосуточно. В какой-то момент он случайно нажимает на кнопку подтверждения входа или делает это намеренно, чтобы закончить бесконечный пуш-спам.
Если предыдущий пункт не сработал, то к пользователю обращается лже-коллега из службы безопасности компании. Он дает рекомендации а-ля перейти по ссылке из конкретного уведомления или одобрить вход определенному пользователю.
Метод MFA Fatigue активно форсится хакерами с 2022 года. Один из самых громких примеров — история с Uber. Злоумышленник убедил сотрудников, что он работает в ИТ-отделе компании. После изнурительного пуш-спама он связался с жертвами и получил одобрение на вход в их аккаунты с другого устройства.
На MFA надейся, но и сам не плошай
Как видите, на любое средство защиты найдется вариант обхода. В случае с многофакторкой их немало, причем мы описали далеко не все варианты.
Однако отказываться от MFA совсем не стоит. Это по-прежнему эффективный инструмент защиты учетных данных. Все-таки чем длиннее путь злоумышленника к цели, тем меньше вероятность взлома.
Хотя на корпоративном уровне одного совета «используйте, пожалуйста, MFA» недостаточно. Чтобы обеспечить максимальную безопасность учеток, придется выбрать, какой именно вариант MFA рекомендовать для каждого приложения. А еще лучше сразу представить, как будет выглядеть архитектура такой защиты и можно ли ее обойти, в том числе если сервис многофакторки внезапно перестал работать. Это минимум действий.
Что еще делать ИБ-специалисту, чтобы комплексно защитить учетки сотрудников, расскажем на вебинаре 6 февраля в 11.00.
Вместе с коллегами из MFASOFT расскажем:
Какие требования к защите учеток предъявляют PCI DSS, NIST, ГОСТ 57580, приказы ФСТЭК № 17 и № 21, а также другие документы регуляторов.
Как выяснить, что в компании уже есть скомпрометированные учетные данные. С чего начать аудит и разведку.
Может ли многофакторная аутентификация закрыть требования сразу нескольких стандартов. Как выглядит достаточная и эффективная MFA в реальности.
Участие бесплатное. Нужно только зарегистрироваться>>
