SE Labs’e göre, önemli güvenlik ihlalleri MFA’yı atlayarak taksi komisyoncusu Uber’i, oyun şirketi EA’yı ve kimlik doğrulama şirketi Okta’yı tehlikeye attı.
CISO’lar MFA korumalarını desteklemeli
SE Labs, CISO’lara, başarısızlık noktalarından yararlanmaya yönelik artan saldırgan faaliyetlerine yanıt olarak MFA tarafından korunan sistemlere yönelik saldırılara karşı çabalarını artırmalarını tavsiye etti.
Sistemlerden ödün verildiğinde sıklıkla olduğu gibi, saldırganlar MFA’yı veya diğer adıyla 2FA’yı (iki faktörlü kimlik doğrulama) atlatmak için tekerleği yeniden icat etmediler. Eski tarz sosyal mühendislik, kötü amaçlı yazılım ve kimlik avı yöntemleri gayet iyi çalışıyor.
İyi haber şu ki birçok saldırı, güçlü politika uygulamaları, sağlam uç nokta koruması ve kullanıcı eğitimi ile savunulabilir. Ne yazık ki, birçok kurumsal ve ev kullanıcısı MFA’nın neredeyse kırılmaz olduğuna inandığından, bunlar potansiyel olarak bir şirketin savunmasındaki en zayıf halkadır.
CEO’su Simon Edwards şöyle diyor: “MFA, şifre icat edildiğinden bu yana hala insanların kullanabileceği en iyi güvenlik önlemlerinden biri, ancak kuruluşlar bunu konuşlandırarak savunmalarını güçlendirdikçe, saldırganlar da taktik değiştiriyor ve bunun üstesinden gelmenin yollarını bulmak için çok çalışıyor.” SE Laboratuvarları. “Sistemlerinde sürekli iyileştirme sağlama ihtiyacının bir parçası olarak CISO’lar, MFA’ya yönelik artan tehditleri dikkate almalı, özellikle de SMS tarzı kimlik doğrulamadan uzaklaşarak yükseltmeye çalışmalıdır.”
Saldırganlar MFA’yı nasıl atlıyor?
MFA’nın ‘Oturum Açmayı Onayla’ yöntemi, basit bir tıklama olduğundan kullanıcılar arasında çok popülerdir. Bu nedenle saldırganlar tarafından da tercih ediliyor. Bir kullanıcının çalınan kimlik bilgilerini kendi keşiflerinden veya karanlık ağdan satın aldıktan sonra, saldırgan bu bilgileri tekrar tekrar girer. Dikkati dağılmış, yorgun veya birden fazla mesaj almaktan bıkmış birini yakalamaları an meselesidir. Kullanıcının tek tıklamasıyla içeri girerler.
Bazen saldırganlar, dikkatsiz kullanıcıları tek kullanımlık şifrelerini sahte bir web sitesine girmeye ikna etmek için kimlik avı e-postaları kullanır. Veya SIM kartın çalıntı kopyalarını alıp kodları doğrudan alırlar. 2FA için SMS kullanmak özellikle saldırılara karşı savunmasızdır ve şirketlerin diğer kimlik doğrulama türlerini kullanmaya başlamak için aktif olarak adımlar atması gerekirken SE Laboratuvarları bunun MFA’yı hiç kullanmamaktan daha iyi olduğuna inanıyor.
Oturum ele geçirme veya çerez ele geçirme olarak da bilinen bu yöntemde, saldırganın MFA sürecine katılması gerekmez. Bir saldırıyı gerçekleştirmenin birkaç farklı yöntemi olsa da, web sitelerinde şifreleme kullanımının artması göz önüne alındığında, çoğunlukla kötü amaçlı yazılımın başlangıçta çerezleri hedeften çalmak için kullanılması muhtemeldir. Saldırganın bu bilgiye sahip olması durumunda, kurbanın doğru şekilde oturum açmasını beklemesi ve ardından bağlantıyı devralması yeterlidir.