Tanınmış bir şirketin en son hack’i, saldırganların çok faktörlü kimlik doğrulama (MFA) düzenlerini aşmanın yollarını giderek daha fazla bulduklarını vurguluyor – bu nedenle çalışanlar, önemli bir son savunma hattı olmaya devam ediyor.
9 Ocak’ta Reddit, kullanıcılarına bir tehdit aktörünün bir çalışanı hedefli kimlik avı saldırısının bir parçası olarak gönderilen bir e-postadaki bir bağlantıya tıklamaya ikna ettiğini ve bunun “intranet ağ geçidimizin davranışını klonlayan bir web sitesine” yol açtığını bildirdi. kimlik bilgilerini ve ikinci faktör belirteçlerini çalma girişiminde.”
Reddit danışma belgesinde, çalışanın kimlik bilgilerinin ele geçirilmesinin saldırganın Reddit’in sistemlerini birkaç saat boyunca taramasına, dahili belgelere, panolara ve koda erişmesine izin verdiğini belirtti.
Reddit CTO’su Chris Slowe (aka KeyserSosa), takip eden bir AMA’da şirketin araştırmaya devam ettiğini, ancak saldırganın kullanıcı verilerine veya üretim sistemlerine erişim sağladığına dair henüz bir kanıt bulunmadığını söyledi.
“Olumsuz olduğunu kanıtlamak son derece zor ve ayrıca neden belirtildiği gibi araştırmaya devam ediyoruz” dedi. “Şu anda kanıtlama yükü, erişimin ana üretim yığınının dışıyla sınırlı olduğunu destekliyor.”
Reddit, çalışanların kimlik bilgilerini toplayan ve hassas sistemlerin ihlaline yol açan bir sosyal mühendislik saldırısının kurbanı olan en son yazılım şirketidir. Ocak ayı sonlarında, popüler League of Legends çok oyunculu oyununun yapımcısı Riot Games, kod çalan ve şirketin güncellemeleri yayınlama yeteneğini geciktiren tehdit aktörleri ile “bir sosyal mühendislik saldırısı yoluyla” bir uzlaşmaya uğradığını duyurdu. Dört ay önce saldırganlar, güvenliği ihlal edilmiş kimlik bilgilerini kullanarak Take Two Interactive’in Grand Theft Auto serisinin yapımcısı Rockstar Games stüdyosunun kaynak kodunu başarıyla ele geçirdi ve çaldı.
Kimlik avı saldırıları ve kimlik bilgileri hırsızlığından kaynaklanan küçük ihlallerin bile maliyeti yüksek olmaya devam ediyor. Barracuda Networks tarafından yayınlanan “2023 E-posta Güvenliği Trendleri” raporuna göre, 1.350 BT uzmanı ve BT güvenlik yöneticisiyle yapılan bir ankette, dörtte üçü (%75) şirketlerinin geçen yıl başarılı bir e-posta saldırısına uğradığını söyledi. uygulama ve veri koruma sağlayıcısı. Ek olarak, ortalama bir firma bu tür en pahalı saldırının 1 milyon dolardan fazla hasara ve kurtarma maliyetine neden olduğunu gördü.
Yine de, şirketler hazırlıksız olduklarından korkan katılımcıların yalnızca %26’sı ve %21’i ile hem kimlik avı hem de hedefli kimlik avı ile başa çıkmaya hazır hissediyor. Bu, şirketlerinin 2019’da hazırlıksız olduğundan endişe duyan sırasıyla %47 ve %36’dan bir gelişme. Yine de rapora göre, hesapların devralınmasına ilişkin endişeler daha yaygın hale geldi.
“[W]Raporda, kuruluşlar kimlik avı saldırılarını önlemek için kendilerini daha donanımlı hissedebilseler de, genellikle başarılı bir kimlik avı saldırısının yan ürünü olan hesap ele geçirmeyle başa çıkmaya hazır değiller. çalışanlarının çoğunluğu uzaktan çalışıyor.”
2FA’nın Yeterli Olmadığına Dair Daha Fazla Kanıt
Kimlik bilgilerine dayalı saldırıların önüne geçmek için şirketler, genellikle tek seferlik bir parolanın metin veya e-posta yoluyla gönderildiği iki faktörlü kimlik doğrulama (2FA) biçimindeki MFA’ya geçiyor. Örneğin Reddit’ten Slowe, şirketin 2FA’ya ihtiyaç duyduğunu doğruladı. AMA sırasında “Evet. Hem Reddit’te kullanım için hem de tüm dahili erişim için tüm çalışanlar için gereklidir” dedi.
Ancak MFA yorgunluğu veya “bombalama” gibi teknikler – geçen sonbahardaki Uber saldırısında görüldüğü gibi – 2FA’yı basit bir sayı oyunu haline getiriyor. Bu senaryoda, saldırganlar, birisi bildirimlerden sıkılıp kimlik bilgilerinden ve tek seferlik parola belirtecinden vazgeçene kadar çalışanlara hedefli kimlik avı saldırıları gönderir.
2FA’nın ötesinde bir sonraki seviyeye geçiş gerçekleşmeye başlıyor. Cofense CISO’su Tonia Dudley, örneğin, kimlik ve erişim yönetimi teknolojileri sağlayıcılarının, erişimin kimliğinin doğrulanması gerekip gerekmediğini belirlemeye yardımcı olmak için kullanılabilecek bağlam eklemek için erişim istekleri hakkında daha fazla bilgi eklediğini söylüyor. kimlik avı koruma şirketi.
“Tehdit aktörleri her zaman uyguladığımız teknik kontrollerde gezinmenin yollarını arayacaktır” diyor. “Kuruluşlar yine de MFA kullanımını uygulamalı ve çalışanları korumak için kontrolü ayarlamaya devam etmelidir.”
Çalışanlar Siber Savunmanın Anahtarıdır
İronik bir şekilde, Reddit hack’i aynı zamanda çalışan eğitiminin sağlayabileceği avantajları da gösteriyor. Çalışan, kimlik bilgilerini kimlik avı sitesine girdikten sonra bir şeylerin ters gittiğinden şüphelendi ve kısa süre sonra Reddit’in BT departmanıyla iletişime geçti. Bu, saldırganın fırsat penceresini daralttı ve hasarı sınırladı.
Dudley, “Çalışanları bir zayıflık olarak görmeyi bırakıp, onlara kuruluşlar için oldukları veya olabilecekleri güçler olarak bakmanın zamanı geldi,” diyor. “Kuruluşlar şu ana kadar teknik kontrolleri ayarlayabilir … çalışanlar, ‘bu doğru görünmüyor’ gibi ek bir bağlam sunabilir.”
Reddit’ten Slowe, takip eden AMA’da, Reddit ihlalinin merkezindeki çalışanın uzun vadeli, cezai bir işlemle karşılaşmayacağını, ancak sorun çözülene kadar tüm erişiminin iptal edildiğini söyledi.
“Sorun, her zamanki gibi, aşık olmak için sadece bir kişinin yeterli olması. [a phish]Bu olayda çalışanın, olayın olduğunu anlayınca olduğunu bildirdiği için son derece minnettarım” dedi.