Kuruluşlar, kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı (MFA) ve MFA uygulamalarında numara eşleştirmeyi kullanarak, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından sağlanan önerilere göre kimlik avına ve diğer saldırılara karşı kendilerini koruyabilirler.
MFA, kullanıcıların kimliklerini kanıtlamak için iki veya daha fazla ayrı kimlik doğrulayıcının bir kombinasyonunu göndermelerini gerektirir. MFA, saldırganların güvenliği ihlal edilmiş oturum açma kimlik bilgilerini kullanarak ağlara ve sistemlere erişmesini zorlaştırmak için tasarlanmış bir güvenlik özelliğidir.
CISA, güvenliği ihlal edilmiş kimlik bilgileri yoluyla istenmeyen erişim riskini azaltmak için tüm kuruluşların e-posta, finansal ve dosya paylaşım hesapları dahil olmak üzere kullanıcıları ve hizmetleri için MFA’yı benimsemelerini önerir.
“CISA, tüm kuruluşları Sıfır Güven ilkelerini uygulamanın bir parçası olarak kimlik avına karşı korumalı MFA uygulamaya teşvik ediyor. Herhangi bir MFA biçimi, MFA olmamasından daha iyi ve bir kuruluşun saldırı yüzeyini azaltacak olsa da, kimlik avına karşı dayanıklı MFA altın standarttır ve kuruluşlar buna geçişi yüksek öncelikli bir çaba haline getirmelidir, ”diyor CISA, Kimlik Avına Karşı Dayanıklı MFA Uygulamasında (PDF) ) kılavuz.
Ajansa göre, bazı MFA yöntemleri, kimlik avı (saldırgan tarafından kontrol edilen web siteleri, bir kimlik doğrulama uygulamasından altı basamaklı kod isteyebilir), bir kullanıcının sular altında kaldığı “push bombalama” gibi çeşitli siber saldırılara karşı hassastır. “Kabul et”i tıklatana kadar bildirimleri itin ve SIM değiştirme (saldırganların bir telefon operatörünü kandırarak kurbanın telefon numarasını saldırgan tarafından kontrol edilen bir SIM karta aktarması).
Metin (SMS) veya sesli mesajlarla iletilen kimlik doğrulama kodlarını elde etmek için bazı saldırganlar, iletişim altyapısını etkileyen Signaling System 7 (SS7) protokol kusurlarını kullanabilir.
Kuruluşların, bu tür saldırıların yol açtığı tehlikeleri azaltmak için, kimlik avına karşı dayanıklı ve diğer saldırı türlerinden etkilenmeyen FIDO/WebAuthn veya ortak anahtar altyapısı (PKI) tabanlı kimlik doğrulamasını kullanmaları önerilir.
CISA, tek seferlik parolalar (OTP), numara eşleştirmeli mobil anında iletme bildirimleri ve belirteç tabanlı OTP gibi uygulama tabanlı kimlik doğrulama yöntemlerinin push bombardımanına karşı dirençli ancak kimlik avına karşı savunmasız olduğunu iddia ediyor; numara eşleşmesi olmayan mobil uygulama push bildirimleri, kullanıcı hatasına ve push bombardımanına karşı hassastır; SMS ve sesli MFA, kimlik avı, SS7 ve SIM değiştirme saldırılarına karşı hassastır.
Grup, tüm işletmelerin kimlik avına karşı dayanıklı bir MFA türü oluşturmasını ve MFA’yı desteklemeyen sistemleri belirleyip, numara eşleştirmeli MFA uygulamaları gibi destekleyenlere geçmelerini tavsiye ediyor.
CISA’nın MFA Uygulamalarında Numara Eşleştirmeyi Uygulama (PDF) el kitabına göre, sayı eşleştirmenin kullanılması, kullanıcının hızlı yanıt vermesi gereken çok sayıda istem nedeniyle kızgın veya şaşkın olduğu için oturum açma girişimini kabul ettiği MFA yorgunluğunu en aza indirmelidir. Mayıs ayında, Cisco’nun sistemleri bu yöntem kullanılarak ele geçirildi.
CISA, “Bir kullanıcının parolasını alan siber tehdit aktörleri, kullanıcının cihazında kısa bir süre içinde yüzlerce istem oluşturmak için mobil push-bildirim tabanlı MFA kullanan bir kimlik platformuna girebileceklerini biliyorlar,” diye açıklıyor CISA.
Kullanıcı, kimlik platformu tarafından sağlanan uygulama numaralarını girerek, numaraların eşleşmesi için kimlik doğrulama talebini onaylamalıdır. CISA’ya göre bu, istekleri kabul etmek için kullanıcının, istenmeyen istenmeyen postaları caydırması gereken oturum açma ekranına erişmesi gerektiği anlamına gelir.