Внедрение многофакторной аутентификации (MFA) — отличная стратегия для повышения безопасности ваших учетных записей в Интернете, но изощренные фишинговые атаки могут обойти MFA. Поэтому подумайте о том, чтобы внедрить надежный метод MFA, устойчивый к фишингу, для борьбы с современными фишинговыми кампаниями.
Насколько традиционная многофакторная аутентификация уязвима для фишинговых атак? Что такое решение MFA, устойчивое к фишингу, и как оно может предотвратить фишинговые атаки?
Что такое многофакторная аутентификация?
Как следует из самого термина, многофакторная аутентификация требует от вас предоставления двух или более факторов проверки для доступа к вашим учетным записям.
Одним из факторов процесса аутентификации является средство подтверждения вашей личности при попытке входа в систему.
Наиболее распространенными факторами являются:
- Что-то, что вы знаете: пароль или PIN-код, который вы помните
- Что-то у вас есть: защищенный USB-ключ или смартфон, который у вас есть
- Что-то вы: ваше распознавание лица или отпечаток пальца
Многофакторная аутентификация добавляет дополнительные уровни безопасности вашим учетным записям. Это как добавить второй или третий замок к вашему шкафчику.
В типичном процессе многофакторной аутентификации вы сначала вводите свой пароль или PIN-код. Затем вы можете получить второй фактор на свой смартфон. Этим вторым фактором может быть SMS или уведомление в приложении для проверки подлинности. В зависимости от ваших настроек MFA вам может потребоваться подтвердить свою личность с помощью биометрии.
Есть много причин для использования многофакторной аутентификации, но сможет ли полностью противостоять фишингу?
К сожалению, ответ «нет».
Киберугрозы многофакторной аутентификации
Хотя методы MFA безопаснее, чем методы однофакторной аутентификации, злоумышленники могут использовать их, используя различные методы.
Вот способы, как хакеры могут обойти MFA.
Атаки грубой силы
Если у хакеров есть ваши учетные данные для входа, и вы установили 4-значный PIN-код, который будет использоваться в качестве второго фактора, они могут выполнять атаки грубой силы, чтобы угадать булавку безопасности, чтобы обойти многофакторную аутентификация.
Взлом SIM-карты
В наши дни злоумышленники используют такие методы, как подмена SIM-карты, клонирование SIM-карты и взлом SIM-карты, чтобы взломать вашу SIM-карту. И как только они получат контроль над вашей SIM-картой, они могут легко перехватить второй фактор на основе SMS, скомпрометировав ваш механизм MFA.
Усталостные атаки MFA
В Утомляющая атака MFA, хакер бомбардирует вас шквалом push-уведомлений, пока вы не сдадитесь. Как только вы подтвердите запрос на вход, хакер сможет получить доступ к вашей учетной записи.
Противник в средней атаке
Хакеры могут использовать платформы AiTM, такие как Evilginx, для перехвата как учетных данных для входа, так и токена второго фактора. Затем они могут войти в вашу учетную запись и делать любые неприятные вещи, которые им нравятся.
Атаки с передачей файлов cookie
После того, как вы завершите процесс многофакторной аутентификации, файл cookie браузера будет создан и сохранен для вашего сеанса. Хакеры могут извлечь этот файл cookie и использовать его для запуска сеанса в другом браузере в другой системе.
Фишинг
Фишинг, один из самых обычная тактика социальной инженерии, часто используется для доступа ко второму фактору, когда злоумышленник уже знает ваше имя пользователя и пароль.
Например, вы используете поставщика программного обеспечения как услуги (SaaS), и ваши учетные данные для входа в систему скомпрометированы. Хакер позвонит (или напишет по электронной почте) вам, представившемуся вашим поставщиком SaaS, чтобы запросить второй фактор для проверки. Как только вы поделитесь кодом подтверждения, хакер сможет получить доступ к вашей учетной записи. И они могут украсть или зашифровать данные, затрагивающие вас и вашего поставщика.
В наши дни хакеры используют передовые методы фишинга. Так что следите за фишинговыми атаками.
Что такое устойчивый к фишингу MFA?
MFA, устойчивый к фишингу, неуязвим для всех видов социальной инженерии, включая фишинговые атаки, атаки с заполнением учетных данных, атаки типа «человек посередине» и многое другое.
Поскольку люди находятся в центре атак социальной инженерии, MFA, устойчивая к фишингу, исключает человеческий фактор из процесса аутентификации.
Чтобы считаться защищенным от фишинга механизмом MFA, аутентификатор должен быть криптографически привязан к домену. И он должен распознавать поддельный домен, созданный хакером.
Ниже показано, как работает технология MFA, устойчивая к фишингу.
Создать сильную привязку
В дополнение к регистрации вашего аутентификатора вы выполните криптографическую регистрацию, включая проверку личности, чтобы создать прочную связь между вашим аутентификатором и личностью провайдер (IDP). Это позволит вашему аутентификатору идентифицировать поддельные веб-сайты.
Используйте асимметричную криптографию
Надежная связь двух сторон на основе асимметричной криптографии (криптография с открытым ключом) устраняет необходимость в общих секретах, таких как пароли.
Для запуска сессий потребуются оба ключа (открытый ключ и закрытый ключ). Хакеры не могут пройти аутентификацию для входа в систему, поскольку закрытые ключи будут безопасно храниться в аппаратных ключах безопасности.
Отвечать только на действительные запросы аутентификации
Устойчивый к фишингу MFA отвечает только на действительные запросы. Все попытки выдать себя за законные запросы будут пресекаться.
Подтвердить намерение
Проверка подлинности MFA, защищенная от фишинга, должна подтверждать намерения пользователя, предлагая пользователю выполнить действие, которое указывает на активное участие пользователя в проверке подлинности запроса на вход.
Почему вы должны внедрить устойчивый к фишингу MFA
Внедрение защищенной от фишинга многофакторной идентификации дает множество преимуществ. Это исключает человеческий фактор из уравнения. Поскольку система может автоматически обнаруживать поддельный веб-сайт или несанкционированный запрос аутентификации, она может предотвратить все типы фишинговых атак, направленных на то, чтобы обманом заставить пользователей выдать учетные данные для входа. Следовательно, устойчивый к фишингу MFA может предотвратить утечку данных в вашей компании.
Более того, хорошая многофакторная аутентификация, устойчивая к фишингу, например новейший метод аутентификации FIDO2, улучшает взаимодействие с пользователем. Это связано с тем, что вы можете использовать биометрические данные или простые в реализации ключи безопасности для доступа к своим учетным записям.
И последнее, но не менее важное: устойчивая к фишингу многофакторная аутентификация повышает безопасность ваших учетных записей и устройств, тем самым улучшая пастбище кибербезопасности в вашей компании.
Управление управления и бюджета США (OMB) выпустило Документ Федеральной стратегии нулевого доверия, который требует от федеральных агентств использовать только устойчивые к фишингу MFA к концу 2024 года.
Таким образом, вы можете понять, что защита от фишинга MFA имеет решающее значение для кибербезопасности.
Как реализовать устойчивый к фишингу MFA
Согласно Отчет о состоянии безопасной идентификации Подготовлено командой Auth0 Okta, растет число атак обхода MFA.
Поскольку фишинг является ведущим вектором атак на основе личных данных, внедрение устойчивой к фишингу многофакторной аутентификации может помочь вам защитить ваши учетные записи.
Аутентификация FIDO2/WebAuthn — это широко используемый метод аутентификации, устойчивый к фишингу. Он позволяет использовать обычные устройства для аутентификации в мобильных и настольных средах.
Аутентификация FIDO2 обеспечивает надежную защиту с помощью криптографических учетных данных для входа, уникальных для каждого веб-сайта. И учетные данные для входа никогда не покидают ваше устройство.
Более того, вы можете использовать встроенные функции вашего устройства, такие как сканер отпечатков пальцев, чтобы разблокировать криптографические учетные данные для входа.
Ты можешь проверить продукты FIDO2 выбрать правильный продукт для реализации многофакторной идентификации с защитой от фишинга.
Еще один способ реализовать защиту от фишинга MFA — использовать решения, основанные на инфраструктуре открытых ключей (PKI). Смарт-карты PIV, кредитные карты и электронные паспорта используют эту технологию на основе PKI.
МИД, устойчивый к фишингу, — это будущее
Количество фишинговых атак увеличивается, и применение только традиционных методов многофакторной аутентификации не обеспечивает защиты от изощренных фишинговых кампаний. Поэтому внедрите многофакторную аутентификацию, устойчивую к фишингу, чтобы хакеры не смогли завладеть вашими учетными записями.
