Cyberataki nowej generacji obchodzą uwierzytelnianie wieloskładnikowe - jak się bronić?

Przeczytaj także: 4 kroki do bezpieczeństwa w sieci

Cyberprzestępcy coraz częściej potrafią ominąć mechanizmy MFA – mówi Thorsten Rosendahl z Cisco Talos. -Obserwujemy wyraźny wzrost liczby ataków typu adversary-in-the-middle. To oznacza, że firmy nie mogą już polegać wyłącznie na dotychczasowych, sprawdzonych środkach ochrony – muszą ponownie je przemyśleć i dostosować.

Cisco Talos przedstawia najnowsze techniki, narzędzia i luki wykorzystywane obecnie przez cyberprzestępców do obchodzenia zabezpieczeń MFA:

1. Coraz więcej atakujących wykorzystuje technikę adversary-in-the-middle (AiTM). Zamiast tworzyć fałszywe strony logowania – jak w klasycznych kampaniach phishingowych – stosują odwrócone serwery proxy, które łączą się bezpośrednio ze stroną docelową. Ofiara myśli, że korzysta z usługi jak zwykle, ale w rzeczywistości przesyła dane przez serwer należący do atakującego. Gdy pojawia się prośba o uwierzytelnienie MFA i użytkownik ją zatwierdza, cyberprzestępca przechwytuje ciasteczko uwierzytelniające, uzyskując pełen dostęp do aktywnej sesji.
2. Gotowe zestawy narzędzi typu Phishing-as-a-Service (PhaaS), takie jak Evilproxy czy Tycoon 2FA, obniżają próg wejścia dla cyberprzestępców. Dzięki szablonom, filtrom IP i user-agent oraz mechanizmom omijania zabezpieczeń, nawet osoby bez zaawansowanej wiedzy technicznej mogą przeprowadzać rozbudowane ataki na dużą skalę.
3. Tradycyjne metody ochrony przestają wystarczać – filtry antyspamowe, szkolenia dla pracowników czy proste MFA oparte na haśle i powiadomieniu push można łatwo obejść, jeśli atakujący dysponuje odpowiednią infrastrukturą. Szczególnie niebezpieczna jest sytuacja, gdy po przejęciu dostępu przestępca dodaje własne urządzenia MFA do konta – taki krok często pozostaje niezauważony.

Kluczowa jest dziś odpowiednia prewencja – organizacje, które inwestują w trwałe i odporne metody uwierzytelniania, lepiej radzą sobie z wyrafinowanymi technikami phishingowymi, znacząco zwiększając poziom bezpieczeństwa i ograniczając pole działania cyberprzestępców.

Jednym z najbardziej obiecujących rozwiązań jest WebAuthn – standaryzowana, bezhasłowa metoda uwierzytelniania oparta na kryptografii publicznej. MFA w tej wersji wykorzystuje klucze kryptograficzne powiązane z oryginalną domeną witryny, co praktycznie uniemożliwia ich podrobienie przez fałszywe strony czy serwery proxy.

Niemniej jednak, WebAuthn wciąż jest rzadko stosowane w firmach. Cisco Talos zaleca ponowną ocenę strategii MFA i oferuje wsparcie w dostosowaniu ich do nowych wyzwań – od nowoczesnej analizy sieci IT, przez ochronę aplikacji opartych na AI, po kompleksowe architektury bezpieczeństwa w modelu Zero Trust.