Bazı çok faktörlü kimlik doğrulama biçimleri, hesapların ele geçirilmesini önlemede yalnızca bir yere kadar gider.
Salı günü Microsoft, çevrimiçi forumlarda satışa sunulan ve suçluların, en yaygın çok faktörlü kimlik doğrulama biçimiyle korunduklarında bile hesapları başarılı bir şekilde tehlikeye atan kimlik avı kampanyalarını dağıtmasını kolaylaştıran yazılımın profilini çıkardı.
Microsoft Tehdit İstihbaratı ekibinden araştırmacılar, kimlik avı kitinin her gün 1 milyondan fazla kötü amaçlı e-postayı destekleyen motor olduğunu söyledi. Standart sürüm için 300$ ve VIP kullanıcılar için 1.000$'a satılan yazılım, kimlik avı kampanyalarının dağıtımını kolaylaştırmak ve kimlik avı önleme savunmalarını atlama şanslarını artırmak için çeşitli gelişmiş özellikler sunuyor.
En göze çarpan özelliklerden biri, bazı çok faktörlü kimlik doğrulama biçimlerini atlamak için yerleşik yetenektir. MFA, iki faktörlü kimlik doğrulama veya 2FA olarak da bilinen bu koruma, hesap sahiplerinin kimliklerini yalnızca bir parola ile değil, aynı zamanda yalnızca kendilerine ait olan bir şeyi (güvenlik anahtarı veya kimlik doğrulama uygulaması gibi) veya yalnızca kendilerinin kullandığı bir şeyi kullanarak kanıtlamalarını gerektirir. (parmak izi veya yüz taraması gibi). Bir parolanın çalınması, bir saldırganın denetimi ele geçirmesi için tek başına yeterli olmadığından MFA, hesapların ele geçirilmesine karşı önemli bir savunma haline geldi.
MFA'nın Aşil topuğu: TOTP'ler
MFA'nın etkinliği, kimlik avcılarının gözünden kaçmadı. Son aylarda gün ışığına çıkan birkaç kampanya, kimlik doğrulayıcı uygulamalar tarafından oluşturulan zamana dayalı tek seferlik parolaların kısaltması olan TOTP'leri kullanan MFA sistemlerinin güvenlik açığının altını çizdi. Microsoft tarafından ortaya çıkarılan bir kampanya, 10 aylık bir süre içinde 10.000'den fazla kuruluşu hedef aldı. Diğeri, güvenlik firması Twilio'nun ağını başarıyla ihlal etti.
Microsoft'un Salı günü detaylandırdığı kimlik avı kiti gibi, yukarıdaki iki kampanya da ortadaki düşmanın kısaltması olan AitM olarak bilinen bir teknik kullandı. Hedeflenen kullanıcı ile kullanıcının oturum açmaya çalıştığı site arasına bir kimlik avı sitesi yerleştirerek çalışır. Kullanıcı şifreyi sahte siteye girdiğinde, sahte site şifreyi gerçek zamanlı olarak gerçek siteye aktarır. Gerçek site bir TOTP istemiyle yanıt verirse, sahte site istemi alır ve yine gerçek zamanlı olarak hedefe geri iletir. Hedef, TOTP'yi sahte siteye girdiğinde, sahte site onu gerçek siteye gönderir.
 |
| AitM'nin TOTP tabanlı MFA'yı nasıl yendiğini gösteren diyagram. |
TOTP'nin zaman sınırı içinde (genellikle yaklaşık 30 saniye) girilmesini sağlamak için kimlik avcıları, kimlik bilgilerini otomatik olarak hızlı bir şekilde giren Telegram veya diğer gerçek zamanlı habercilere dayalı botlar kullanır. İşlem tamamlandığında, gerçek site sahte siteye bir kimlik doğrulama çerezi gönderir. Bununla, kimlik avcıları hesabı ele geçirmek için ihtiyaç duydukları her şeye sahip olur.
Geçen Mayıs ayında, Microsoft'un DEV-1101 olarak izlediği bir suç grubu, yalnızca tek seferlik parolalara dayalı MFA'yı değil, aynı zamanda yaygın olarak kullanılan diğer otomatik savunmaları da yenen bir kimlik avı kitinin reklamını yapmaya başladı. Bir özellik, insan tarafından çalıştırılan tarayıcıların nihai kimlik avı sayfasına erişebilmesini ancak otomatik savunmaların erişememesi için sürece bir CAPTCHA ekler. Başka bir özellik, kimlik avı sitesine gelmeden önce hedefin tarayıcısını kimlik avı e-postasında bulunan ilk bağlantıdan kısa süreliğine zararsız bir siteye yönlendirir. Yönlendirme, bilinen kötü amaçlı URL'lerin engelleme listelerini yenmeye yardımcı olur.
Geçen Mayıs ayında yayınlanmaya başlayan reklamlar, kiti, MFA ve CAPTCHA'yı atlamak için PHP ters proxy yetenekleri ve diğer savunmaları atlamak için yönlendirmeler sunan, NodeJS'de yazılmış bir kimlik avı uygulaması olarak tanımlıyordu. Reklamlar, otomatik kurulum ve Microsoft Office veya Outlook gibi hizmetleri taklit etmek için çok çeşitli önceden yüklenmiş şablonlar gibi diğer yetenekleri tanıtır.
Microsoft araştırmacıları, "Bu özellikler, kiti, Mayıs 2022'de kullanıma sunulduğundan beri sürekli olarak kullanan birçok farklı aktör için çekici kılıyor" diye yazdı. "Bu kiti kullanan aktörlerin farklı motivasyonları ve hedeflemeleri var ve herhangi bir sektörü veya sektörü hedef alabilir."
Gönderi, Windows Defender ve kimlik avına karşı koruma çözümleri dahil olmak üzere, müşterilerin kitin kaçınma yeteneklerine karşı koymak için kullanabilecekleri çeşitli önlemleri listeleyerek devam etti. Ne yazık ki gönderi, FIDO2 olarak bilinen endüstri standardına dayalı MFA olan en etkili önlemi gözden kaçırdı. Şimdiye kadar, FIDO2'yi yenen bilinen kimlik bilgilerine dayalı kimlik avı saldırıları yoktur, bu da onu hesap devralmalarının önündeki en etkili engellerden biri haline getirir.
FIDO2 uyumlu MFA hakkında daha fazla bilgi için burada, burada ve burada önceki kapsama bakın.
Twilio'nun ağını ihlal eden kimlik avı saldırısı, hedeflenen çalışanlardan birinin saldırganın sahte oturum açma sitesine kimlik doğrulayıcı tarafından oluşturulmuş bir TOTP girmesi nedeniyle işe yaradı. Şirket FIDO2 tabanlı MFA kullandığından, aynı kampanya içerik dağıtım ağı Cloudflare'a karşı başarısız oldu.
Tags:
Bilgi Teknolojisi