Ερευνητές έχουν ανακαλύψει την ύπαρξη μιας ιδιαίτερα επικίνδυνης εφαρμογής για την κυβερνοασφάλεια παρακάμπτει τον έλεγχο του MFA για την γρήγορη δράση του Phishing-as-a-service. Συγκεκριμένα, πρόκειται για ένα εργαλείο που βρίσκεται προς πώληση στον σκοτεινό ιστό (dark web) και επιτρέπει στους εγκληματίες hackers να παρακάμπτουν μηχανισμούς MFA (πολλαπλών παραγόντων ελέγχου ταυτότητας). Ως αποτέλεσμα οι hacker μπορούν να εισβάλλουν στα συστήματα των οργανισμών, πολύ πιο εύκολα και γρήγορα σε σύγκριση με το παρελθόν.

Ποια είναι αυτή η επικίνδυνη εφαρμογή τύπου Phishing;

Η εν λόγω εφαρμογή ονομάζεται “Evil Proxy” και είναι διαθέσιμη με συνδρομή έως και περίπου 395 ευρώ το μήνα. Είναι η πιο πρόσφατη σε μια σειρά μοντέλων PhaaS (phishing-as-a-service) που επιτρέπουν στους εγκληματίες να στοχεύουν οργανισμούς μέσω αυτοματοποιημένων μέσων.

Σε αντίθεση με τις παραδοσιακές απάτες ηλεκτρονικού “ψαρέματος” (phishing), οι hackers γλυτώνουν σημαντικό χρόνο από τη δημιουργία προφάσεων και εκμεταλλεύονται τα τρωτά σημεία.

Ως αποτέλεσμα, αυτή η Phishing-as-a-service τεχνική διευκολύνει τη διεξαγωγή του εγκλήματος στον κυβερνοχώρο και με την ικανότητά της να παρακάμπτει το MFA.

Κατά συνέπεια, οι κυβερνοεπιθέσεις έχουν γίνει πολύ πιο επικίνδυνες.

Η ανακάλυψη του EvilProxy συνοδεύτηκε από μια αναφορά από την εταιρεία ασφάλειας Cloud Mitiga. Συγκεκριμένα, έγινε η διαπίστωση ότι οι εγκληματίες του κυβερνοχώρου συνδυάζουν το phishing με τις τεχνικές AitM (Adversary In The Middle). Με αυτό τον τρόπο, μπορούσαν να παρακάμψουν το MFA.

Η επίθεση στοχεύει τους λογαριασμούς στελεχών του Office 365 που βασίζονται στο Cloud, με τους απατεώνες να έχουν παρατεταμένες αλληλογραφίες με στελέχη επιχειρήσεων. Κατά τη διάρκεια της επικοινωνίας, ο απατεώνας θα ζητήσει πληρωμή για ένα εκκρεμές τιμολόγιο και θα παράσχει τα διορθωμένα στοιχεία λογαριασμού.

Τι είναι το Adversary in the middle;

Ο όρος Adversary in the middle είναι ένας σχετικά νέος τύπος phishing που έχει πάρει στοιχεία από την καθιερωμένη τεχνική των επιθέσεων MitM (man-in-the-middle).

Η έρευνα της Mitiga διαπίστωσε ότι οι επιτιθέμενοι έστελναν μηνύματα ηλεκτρονικού ταχυδρομείου που μιμούνταν το DocuSign. Συγκεκριμένα, όταν οι χρήστες έκαναν κλικ, γινόταν μια ανακατεύθυνση σε μια σελίδα σύνδεσης του Microsoft 365.

Στη συνέχεια, ο χρήστης με την εισαγωγή των στοιχείων του, τα παρέδιδε ακούσια στους εισβολείς.
Αυτή είναι η βάση μιας παραδοσιακής απάτης phishing, αλλά η επίθεση έχει ένα δεύτερο επίπεδο. Αυτό σημαίνει ότι οι απατεώνες χρησιμοποιούν έναν διακομιστή μεσολάβησης που βρίσκεται μεταξύ του πελάτη και του πραγματικού διακομιστή Microsoft.

Αυτή είναι η μέθοδος που επιτρέπει το Phishing-as-a-service να παρακάμψει το MFA.

Όταν ζητείται από το θύμα να παράσχει τα πρόσθετα διαπιστευτήριά του, επιστρέφει ένα έγκυρο cookie περιόδου λειτουργίας. Στη συνέχεια ο hacker χρησιμοποιεί τον διακομιστή μεσολάβησης για να αναλάβει τον έλεγχο της συνεδρίας του θύματος.

Με αυτά τα δικαιώματα, ο εισβολέας μπορεί να δημιουργήσει για τον εαυτό του MFA στο λογαριασμό χωρίς να ειδοποιήσει τον αρχικό χρήστη. Αυτό τους δίνει τη δυνατότητα να συνδεθούν αργότερα στο λογαριασμό για να παρακολουθούν τα email και άλλες δραστηριότητες.

H έρευνα της Mitiga επικεντρώθηκε σε επιθέσεις που εκμεταλλεύονται το Office 365. Ωστόσο, το μοντέλο PhaaS που είναι διαθέσιμο στο σκοτεινό ιστό μπορεί να χρησιμοποιηθεί για περισσότερους από δώδεκα ιστότοπους. Ανάμεσα σε αυτούς βρίσκονται τα Apple iCloud, Facebook, GoDaddy, GitHub, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo και Yandex.

Πόσο ασφαλές είναι τελικά το MFA απέναντι το Phishing-as-a-service;

Η φύση αυτών των κυβερνοεπιθέσεων μπορεί να κάνει μερικούς ανθρώπους να αμφισβητήσουν τα πλεονεκτήματα του MFA. Συγκεκριμένα, το MFA θεωρείται ως ένας από τους πιο αποτελεσματικούς τρόπους για να διασφαλίσετε έναν λογαριασμό. Ωστόσο έχει επικριθεί για τη δυσκίνητη εφαρμογή και την ταλαιπωρία του.

Οι χρήστες συνήθως πρέπει να εγκαταστήσουν μια εφαρμογή ελέγχου ταυτότητας στο τηλέφωνό τους και επομένως πρέπει να την έχουν μαζί τους κάθε φορά που πάνε να συνδεθούν.

Οι περισσότεροι άνθρωποι αποδέχονται την ανταλλαγή. Όμως εάν επιθέσεις όπως αυτές που συζητήσαμε εδώ μειώνουν τα οφέλη ασφαλείας του MFA, η ισορροπία μπορεί να αλλάξει.

Μιλώντας στο ZDNet, ο Γενικός Διευθυντής Τεχνολογίας της Mitiga, Ofer Maor, δήλωσε: «Οι κυβερνοεπιθέσεις είναι μια επιχείρηση – και δεν μπορούν να εγκαταλείψουν το εισόδημά τους μόνο και μόνο επειδή κάποιος δημιούργησε έναν νέο έλεγχο ασφαλείας».

«Το MFA φαινόταν σαν ένας εξαιρετικός έλεγχος ενάντια στις επιθέσεις phishing και ήταν έτσι για λίγο, καθώς οι επιτιθέμενοι απλώς επέλεξαν να κυνηγήσουν αυτούς που δεν το είχαν στη θέση τους. Αλλά τώρα που είναι ευρέως διαδεδομένο, οι επιτιθέμενοι ανέπτυξαν τεχνολογίες για να το ξεπεράσουν».

Μήπως θα πρέπει να εξετάσουμε άλλες εναλλακτικές;

Την απάντηση αυτού του ερωτήματος, επιχείρησε να τη δώσει η Microsoft. Συγκεκριμένα προσπαθεί να απομακρυνθεί από τη φιλοσοφία του MFA με την έννοια της «Ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης». Ωστόσο για την ώρα, δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι θα είναι πιο ωφέλιμο για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο.

Επίσης, είναι γεγονός είναι ότι οι εγκληματίες του κυβερνοχώρου θα βρίσκουν πάντα έναν τρόπο να εκμεταλλεύονται τις όποιες αδυναμίες. Ευτυχώς, οι επιθέσεις που εκμεταλλεύονται τις αδυναμίες του MFA είναι σπάνιες. Ιδιαίτερα σε σύγκριση με τις παραδοσιακές επιθέσεις phishing και brute-force με κωδικό πρόσβασης.

Το MFA είναι ζωτικής σημασίας για τον μετριασμό αυτών των μορφών επίθεσης και παραμένει σημαντικό μέρος των πρακτικών ασφάλειας στον κυβερνοχώρο οργανισμών και ατόμων. Ωστόσο, όπως συμβαίνει πάντα, δεν πρέπει να βασίζεται κανείς μόνο στην τεχνολογία προκειμένου να αποτραπούν περιστατικά παραβίασης.

Αυτή η μέθοδος επίθεσης, όπως όλες οι μορφές phishing, βασίζεται στο ότι οι εργαζόμενοι πέφτουν στο δόλωμα. Μόνο όταν συμβεί αυτό, οι εισβολείς μπορούν να στοχεύσουν στα ευάλωτα σημεία του MFA.

Πως προστατευόμαστε σε πρώτο βαθμό από μια περίπτωση phishing;

Δεν θα σταματήσουμε ποτέ να επαναλαμβάνουμε πως ειδικά σε περιπτώσεις phishing, η πρόληψη είναι η πιο αποτελεσματική άμυνα. Ο τρόπος με τον οποίο οι hacker αποκτούν τα διαπιστευτήρια σύνδεσής σας, είναι απευθείας από την πηγή. Με άλλα λόγια, τα αποκτούν κατευθείαν από εσάς.

Άρα, αν δεν είστε 100% σίγουροι, για την εγκυρότητα ενός μηνύματος προτιμήστε να μην κάνετε κλικ σε τέτοιου είδους email, μηνύματα κειμένου, συνημμένα ή σε συνδέσμους. Είναι προτιμότερο να είστε ασφαλείς παρά να το μετανιώσετε ύστερα!

Όλα τα παραπάνω, αποδεικνύουν πως τελικά, κάθε είδους μέθοδος ασφάλειας είναι καλός, μέχρι να βρεθεί τρόπος ξεπεραστεί από τους hacker. Οπότε θα πρέπει πάντοτε να είμαστε προσεκτικοί!

Πως η f society μπορεί να σας βοηθήσει;

Το εξειδικευμένο προσωπικό της f society μπορεί να σας βοηθήσει σε κάθε στάδιο. Έτσι θα μπορείτε να βρίσκεστε προετοιμασμένοι απέναντι σε κάθε είδους κυβερνοαπειλής. Ενημερωθείτε για τις υπηρεσίες προετοιμασίας για το ISO 27001:2013. Το πρότυπο αυτό καθορίζει τις απαιτήσεις για τη δημιουργία, την εφαρμογή, τη διατήρηση και τη συνεχή βελτίωση ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ISMS).

Επικοινωνήστε μαζί μας για να μάθετε περισσότερες λεπτομέρειες.