Siber suçlular, ortada düşman (AITM) saldırıları yoluyla çoklu faktörlü kimlik doğrulamayı (MFA) zayıflatma çabalarını yoğunlaştırıyor ve hassas verileri kesmek için ters vekillerden yararlanıyor.
Kimlik avı taktikleri daha gelişmiş olarak, spam filtreleri ve kullanıcı eğitimi gibi geleneksel savunmalar yetersizdir.
Saldırganlar, kurban trafiğini meşru web sitelerine iletmek için ters proxy’leri aracı sunucular olarak kullanıyor ve bu da özgünlük yanılsaması yaratıyor.
.png
)
Bu kurulum, MFA işlemi sırasında kullanıcı adlarını, şifreleri ve kimlik doğrulama çerezlerini yakalamalarını sağlar ve ek güvenlik katmanlarını etkili bir şekilde atlar.
Hedeflenen sitenin meşru görünümü, doğru işlevselliğe bağlı olarak kullanıcıları aldatır, tek hediye tarayıcının adres çubuğunda ince bir tutarsızlıktır.
Hizmet olarak kimlik avı, saldırganlar için bariyeri düşürür
Tycoon 2FA ve EvilProxy gibi hizmet olarak kimlik avı (PHAAS) araç setlerinin çoğalması, bu sofistike saldırıları demokratikleştirerek acemilerin bile MFA bypass kampanyalarını yürütmesini sağladı.
Bu kitler, popüler hedefler için önceden oluşturulmuş şablonlar, IP ve kullanıcı ajanı filtreleme tespitinden ve ek kurban verilerini toplamak için gizlenmiş JavaScript ile donatılmıştır.
Başlangıçta penetrasyon testi için tasarlanan Evilginx gibi açık kaynaklı araçlar, özelleştirilebilir ters proxy özellikleri sağlayarak sorunu daha da kötüleştirir.
Oturum çerezlerini ele geçirerek, saldırganlar mağdur hesaplarına geçici olarak erişim sağlar ve genellikle uzun vadeli kontrolü sürdürmek için kalıcı MFA cihazları ekler.
Yeni kayıtlı alanlar, günlüklerde olağandışı oturum davranışı ve uyumsuz TLS parmak izleri gibi göstergeler, savunuculara potansiyel AITM aktivitesini tanımlamak için bazı ipuçları sunar.
Webauthn potansiyel bir karşı önlem olarak ortaya çıkıyor
MFA bypass saldırılarının yükselen gelgitinin ortasında, Fido Alliance ve W3C tarafından geliştirilen şifresiz bir kimlik doğrulama standardı olan Webauthn, sağlam bir savunma sunuyor.
Genel anahtar kriptografisini kullanan WebAuthn, sunucularda kullanıcı cihazlarında ve genel anahtarlarda özel anahtarları saklayarak şifre iletimini ortadan kaldırır.
Kimlik doğrulama sırasında, bir meydan okuma yanıt mekanizması, hassas verileri açığa çıkarmadan güvenliği sağlar ve sunucu tarafı kimlik bilgisi veritabanlarını saldırganlara işe yaramaz hale getirir.
Buna ek olarak, WebAuthn, alan uyuşmazlığı kimlik doğrulama sürecini durdurduğundan, kimlik avı denemelerini ters vekiller aracılığıyla engelleyerek belirli web sitesi kökenlerine bağlar.
Bu aynı zamanda, çalınan anahtarlar başka bir yerde kullanılamadığı için kimlik bilgisi doldurma saldırılarını da geçersiz kılar. Potansiyeline rağmen, WebAuthn’un benimsenmesi yavaş kalmaktadır, Cisco ikilisi telemetri son altı aydaki diğer MFA yöntemlerine kıyasla minimum kullanım gösteriyor.
Şimdi AITM ve ters proxy teknikleri tarafından güçlendirilen gelişen kimlik avı manzarası, kuruluşların kimlik doğrulama stratejilerini yeniden değerlendirmeleri için kritik bir ihtiyacın altını çiziyor.
MFA bir zamanlar güçlü bir bariyer sağlarken, güvenlik açıkları, karmaşık saldırıları basitleştiren araç setleri tarafından giderek daha fazla kullanılmaktadır.
Webauthn, parolaları denklemden kaldırarak ve menşe özgü güvenliği uygulayarak kimlik avının temel mekanizmalarına karşı koyarak umut verici bir çözüm olarak öne çıkıyor.
Bununla birlikte, sınırlı olarak benimsenmesi, farkındalık veya altyapı hazırlıklarında bir boşluk olduğunu göstermektedir.
Cisco Talos’un önerdiği gibi, işletmeler daha güçlü, şifresiz alternatifler dahil etmek ve taktiklerini endişe verici yaratıcılık ve kalıcılıkla geliştirmeye devam eden siber suçluların önünde kalmak için MFA çerçevelerini yeniden ziyaret etmeye öncelik vermelidir.
Kimlik avının karmaşıklığı geleneksel savunmaları aşmakla tehdit ettiğinden, adapte olma aciliyeti hiç bu kadar net olmamıştı.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!