Dolandırıcılık Yönetimi ve Siber Suçlar, Çok Faktörlü ve Risk Tabanlı Kimlik Doğrulama, Güvenlik Operasyonları
Araştırmacılar, Yorgunluk Saldırılarının Zamanın %5’inde Başarılı Olduğunu, Sabahları Arttığını Buldu
Mathew J. Schwartz (euroinfosec) •
18 Haziran 2024
Mümkün olan her yerde çok faktörlü kimlik doğrulamanın kullanılması, ağ penetrasyonunu daha fazla zaman alıcı ve saldırganların başarmasını zorlaştırdığı için olmazsa olmaz bir güvenlik savunması olmaya devam ediyor.
Ayrıca bakınız: Canlı Sanal Zirve | Verilerinizin Riskini ve Hazırlıksızlığın Maliyetini Ölçme
Öyle olsa bile, MFA kusursuz değildir ve saldırganlar, kurbanın ağına uzaktan erişim sağlamak için güvenlik kontrolünü atlamak veya yenmek için taktiklerini geliştiriyorlar.
Salı günkü bir blog yazısında Cisco Talos, bu yılın ilk çeyreğinde soruşturmaya yardımcı olduğu tüm güvenlik olaylarının neredeyse yarısının MFA ile ilgili olduğunu söyledi. Spesifik olarak, araştırdığı saldırıların %21’i, uygunsuz bir şekilde uygulanan MFA’yı içeriyordu ve %25’i, saldırganların, MFA özellikli cihazlarına gönderilen bir anında bildirimi kabul etmeleri için kullanıcıları kandırmaya çalıştıkları push tabanlı saldırıları içeriyordu.
Saldırganlar bu tür taktiklere kısmen MFA’nın artık tamamen engellediği için başvuruyor. Buna, saldırganların (çoğunlukla kamuya açık veri ihlali sızıntıları yoluyla elde edilen) meşru kullanıcı adı ve şifre çiftlerini yeniden kullandığı ve diğer sitelere ve hizmetlere giriş yaptığı kimlik bilgileri doldurma da dahildir. Uzmanlar, saldırganların herhangi bir işe yarayıp yaramadığını görmek için kullanıcı adı ve parolalardan oluşan devasa sözlükler kullandığı parola püskürtme işleminin başarısının, MFA’nın daha yaygın kullanımı sayesinde azaldığını söylüyor.
İtme yorgunluğu gibi MFA’yı atlamaya yönelik diğer birçok girişim de hala başarısız görünüyor. Cisco’nun iki faktörlü kimlik doğrulama ürünü olan Duo tarafından kataloglanan son 12 aydaki 15.000 push tabanlı saldırıyı inceleyen Cisco Talos araştırmacıları, push saldırılarının %5’inin başarılı olduğunu buldu. Bazı saldırganlar hedefleri 20, hatta 50 istekle bombalarken, araştırmacılar ortalama saldırının bir ile beş arasında itme isteği içerdiğini ve bunlar başarılı olmazsa saldırganların bir sonraki hedeflerine geçme eğiliminde olduklarını buldu.
Bu itme yorgunluk saldırıları, herhangi bir iş gününde sabah 8:00 ile sabah 9:00 arasında zirveye ulaşıyor gibi görünüyor; bunun nedeni, saldırganların, çoğu kullanıcının yasal olarak ilk kez oturum açmaya çalıştığı ve yanlışlıkla kabul etmeyi umduğu bir dönemde saldırıları gizlemeye çalışmasıdır. Cisco Talos, talebin bu olduğunu söyledi.
Savunma olarak, “MFA uygulamalarında numara eşleştirmeyi uygulamayı düşünün”; bu, kullanıcının, kuruluşlarında kullanılan meşru iki faktörlü kimlik doğrulama yazılımı tarafından oluşturulan bir numarayı girmesini gerektirecek ve daha sonra yetkilendirmek için kimlik doğrulayıcı uygulamasına yazması gerekecek. Araştırmacılar, herhangi bir talebin olmadığını söyledi.
Hangi kontroller mevcut olursa olsun, sosyal mühendislik hâlâ MFA’yı atlatmak için yaygın olarak kullanılan bir taktik olmaya devam ediyor. Scattered Spider siber suç grubu, öncelikle hedefin yardım masasında sosyal mühendislik yaparak MGM Resorts, Caesars Entertainment ve Clorox’u çökertti (bkz: İspanyol Polisi Dağınık Örümceğin Liderini Tutukladı).
Cisco Talos araştırmacıları, bazı sosyal mühendislik vakalarının, saldırganların kendi cihazlarından birini hedefin hesabına eklemesini içerdiğini ve bunun ardından saldırganın push isteğini kendisinin kabul edebileceğini söyledi. Diğer durumlarda, saldırganlar kurbanın bilgisayarına uzaktan erişim sağlıyor, ayrıcalıkları yükseltmenin bir yolunu buluyor ve ardından MFA’yı devre dışı bırakıyor.
Savunma olarak firma, MFA bir uç noktada devre dışı bırakıldığında güvenlik operasyonları merkezini uyaracak uyarıların ayarlanmasını öneriyor.
Bazen saldırganlar yardım masası gibi davranarak mağdura telefon eder ve almak üzere oldukları anlık bildirimi kabul etmelerini söyler. Araştırmacılar, bir saldırganın “çeşitli güvenilir kuruluşların kisvesi altında bir dizi gelişmiş sesli kimlik avı saldırısı gerçekleştirip kurbanı, MFA tarafından başlatılan çok faktörlü kimlik doğrulama anlık bildirimlerini kabul etmeye ikna etmeye çalıştığı 2022 yılında bir MFA bypass saldırısının kurbanı olduğunu söyledi. saldırgan” (bkz: Cisco Saldırıya Uğradı: Firma, İlk Erişim Aracısına İzinsiz Girişin İzini Sürüyor).
Saldırganların kullandığı bir diğer taktik ise, kurbanın cep telefonu numarasını kendilerine yeniden atadıkları ve bu numarayı meşru tek seferlik kodları ele geçirmek için kullanabildikleri SIM takasıdır.
Saldırganlar, hedefin yalnızca kullanıcı adını ve parolasını değil aynı zamanda tek seferlik kodunu da çalmak için kimlik avını kullanır. Siber sigorta şirketi Coalition, nisan ayında poliçe sahiplerini hedef alan en yaygın MFA baypas saldırısı türünün tek seferlik şifre müdahalesi olduğunu söyledi. Saldırganlar genellikle kurbanı, kullanıcı adını ve kimlik bilgilerini çalan benzer bir giriş sayfasını ziyaret etmesi için kandırır ve ardından kimlik doğrulama uygulaması tarafından oluşturulan veya e-posta veya SMS yoluyla gönderilen tek seferlik kodu girmesini ister. Saldırganlar bu ayrıntılarla kurbanın hesabına erişebilir.
Saldırganlar, yalnızca bir OTP’yi değil, daha sonra bir siteye veya hizmete giriş yapmak için yeniden oynatabilecekleri bir oturum jetonunu veya çerezini çalmak için bu konsepti geliştirmeye devam ediyor. Ucuz araçlar da bu yeteneği bir hizmet olarak sunabilir.
Cisco Talos, Tycoon 2FA platform olarak kimlik avı aracının “artık bir MFA isteği istemini içerdiğini” ve bir kullanıcı yazılımı kabul ederse oturum çerezlerini çaldığını söyledi. Araştırmacılar, “Çalınan çerezler, saldırganların bir oturumu tekrar oynatmasına ve dolayısıyla kimlik bilgileri arada değiştirilmiş olsa bile MFA’yı atlamasına olanak tanıyor” dedi.
Bunun da gösterdiği gibi, hiçbir kuruluş MFA bypass saldırılarına karşı bağışık değildir.
Coalition’ın güvenlik mühendisliği başkanı Joe Toomey geçenlerde bana “MFA gerçekten iyi ve önemli ve herkes onu kullanmalı” dedi (bkz: Çok Faktörlü Kimlik Doğrulamayı Atlama Saldırıları: En İyi Savunmalar).
Aynı zamanda saldırganların hareketsiz durmasını beklemeyin. “Bir önleme koyarsak, bir koruma koyarsak, bunu aşmaya çalışacaklar ve bunu farklı şekillerde yaptıklarını gördük; yeni ve haber değeri olan şeyler.” söz konusu.
Uzmanlar, yardımcı olmak için farklı savunma türlerinin katmanlandırılmasını öneriyor. Yukarıda sıralanan savunmaların ötesinde, kullanıcı eğitimi, çalışanların yeni ve eski MFA hilelerine karşı dikkatli olmayı öğrenmelerine yardımcı olma açısından kilit rol oynamaya devam ediyor.
Donanım güvenlik anahtarları da yardımcı olabilir. Dağıtılmış hizmet reddi azaltma şirketi Cloudflare, her çalışana verdiği fiziksel güvenlik anahtarlarını kullanması sayesinde, Cloudflare çalışanları kullanıcı adlarının ve şifrelerinin çalınmasına yol açan kimlik avı mesajlarına yakalandıktan sonra bile diğer kuruluşları tuzağa düşüren bir MFA bypass saldırısını durdurdu. . Şirket, saldırının ardından yapılan bir saldırıda, saldırganların meşru kullanıcı adlarını ve şifreleri girmesine rağmen oturum açma bilgilerinin donanım güvenlik anahtarı kontrolünde başarısız olmasının ardından (fiziksel olarak gerekli anahtara sahip olmadıkları için) Cloudflare’in güvenlik operasyonları merkezinde alarmların çalmaya başladığını söyledi. Güvenlik operasyonları ekibi daha sonra çalınan kimlik bilgilerini araştırabildi, değiştirebildi ve bilgisayar korsanlarının eriştiği uç noktaları sildi.
Koalisyon’dan Toomey, siber güvenlikte sıklıkla olduğu gibi, iyi bir kayıt tutma ve izlemenin hayati önem taşıdığını, özellikle de saldırganların mevcut savunmalara rağmen MFA’yı atlatmayı başarmaları durumunda olay müdahale ekiplerine yardımcı olmak için gerekli olduğunu söyledi.