Angara MSS | MFA — не панацея

MFA — не панацея

Долгое время применение MFA/2FA считалось чуть ли не панацеей от «угона» аккаунтов, в связи с чем технологии дополнительной аутентификации стали активно набирать популярность. Начиная 2017 года распространенность MFA среди опрошенных респондентов компании Duo, занимающейся цифровой аутентификацией, выросла с 28% до 78% по состоянию на 2021 год.

Рост популярности MFA вызывает обеспокоенность у специалистов в области информационной безопасности. Эксперты из компании Proofpoint поделились выводами о набирающих обороты атаках, связанных с использованием специальных «фишинговых наборов», которые позволяют злоумышленникам получить доступ к аккаунтам пользователей без нарушения процесса многофакторной аутентификации.

Уже несколько лет в сети Интернет размещены инструменты, такие как Modliska, Muraena/Necrobrowser, Evilginx2, которые в разы упрощают организацию фишинговых атак. Некоторые исследователи отмечают рост числа киберпреступлений с использованием данных средств.

Говоря простым языком, эксплуатируя такой набор, злоумышленник использует фишинговую ссылку для того, чтобы обеспечить и перехватить обращение пользователя к оригинальному сайту и заполучить ответы с него, включая логины, пароли, проверочные коды и файлы cookie. Фактически пользователь получает доступ к настоящему ресурсу (почте, онлайн-банку, соцсети), поэтому у атакующего пропадает необходимость разработки фишингового веб-сайта, который можно было бы распознать по ряду внешних признаков (нетипичное расположение форм, грамматические ошибки, отсутствие политики безопасности и др.)

Перечисленные средства для фишинга используются для развертывания реверс-прокси, таким образом реализуя атаку типа MiTM — человек посередине. Обратный прокси, предоставляя доступ к оригинальному веб-сайту, создаёт иллюзию безопасности для пользователя. Вместе с тем формирование визуально схожих доменов и применение Let's Encrypt TLS-сертификатов на реверс-прокси сервере также дает атаке большие шансы на успех.

«Опасность состоит в том, что злоумышленник получает возможность перехватить и использовать сессионные куки и токены MFA для доступа к желаемым аккаунтам, поэтому использование методов многофакторной аутентификации в данном случае не гарантирует пользователю защиту от кражи учётной записи. Эффективными мерами предотвращения и детектирования фишинга остаются использование межсетевых экранов для фильтрации обращений к подозрительным доменам и IP-адресам, а также внимательность и осведомленность граждан в вопросах данного типа атак», — комментирует Никита Аршинов, руководитель отдела прикладных систем Angara Security.