Внедряването на многофакторно удостоверяване (MFA) е отлична стратегия за укрепване на сигурността на вашите онлайн акаунти, но сложните фишинг атаки могат да заобиколят MFA. Така че помислете за възприемане на силен, устойчив на фишинг MFA метод за борба с модерните фишинг кампании.
Как традиционното MFA е податливо на фишинг атаки? Какво е устойчиво на фишинг MFA решение и как може да предотврати фишинг атаки?
Какво е многофакторно удостоверяване?
Както подсказва терминът, многофакторното удостоверяване изисква да представите два или повече фактора за потвърждение за достъп до вашите акаунти.
Фактор в процеса на удостоверяване е средство за потвърждаване на вашата самоличност, когато се опитвате да влезете.
Най-честите фактори са:
- Нещо, което знаете: парола или ПИН, които помните
- Нещо, което имате: защитен USB ключ или смартфон, който имате
- Нещо, което си: вашето лицево разпознаване или пръстов отпечатък
Многофакторното удостоверяване добавя допълнителни слоеве на сигурност към вашите акаунти. Това е като да добавите втора или трета ключалка към вашето шкафче.
При типичен процес на многофакторно удостоверяване първо ще въведете своята парола или ПИН. След това може да получите втория фактор на вашия смартфон. Този втори фактор може да бъде SMS или известие в приложение за удостоверяване. В зависимост от вашите настройки на MFA може да поискате да потвърдите самоличността си чрез биометрични данни.
Има много причини да използвате многофакторно удостоверяване, но може ли напълно да устои на фишинг?
За съжаление отговорът е „не“.
Кибер заплахи за многофакторно удостоверяване
Въпреки че методите на MFA са по-безопасни от методите за еднофакторно удостоверяване, заплахите могат да ги експлоатират с помощта на различни техники.
Ето начини как хакерите могат да заобиколят MFA.
Атаки с груба сила
Ако хакерите разполагат с вашите идентификационни данни за вход и сте задали 4-цифрен ПИН код, който да се използва като втори фактор, те могат да извършват груби атаки, за да отгатнат защитния щифт, за да заобиколят многофакторния удостоверяване.
Хакване на SIM
В наши дни заплахите използват техники като размяна на SIM карти, клониране на SIM карти и извличане на SIM карти, за да хакнете SIM картата си. И след като имат контрол над вашата SIM карта, те могат лесно да прихванат базирания на sms втори фактор, компрометирайки вашия MFA механизъм.
MFA Пристъпи на умора
В ан MFA атака на умора, хакер ви бомбардира с порой от насочени известия, докато не се поддадете. След като одобрите заявката за влизане, хакерът може да получи достъп до вашия акаунт.
Противник в средните атаки
Хакерите могат да използват AiTM рамки като Evilginx, за да прихванат както идентификационните данни за вход, така и токена на втория фактор. Тогава те могат да влязат в акаунта ви и да направят всякакви неприятни неща, които им харесат.
Pass-the-Cookie атаки
След като завършите процеса на многофакторно удостоверяване, се създава бисквитка на браузъра и се съхранява за вашата сесия. Хакерите могат да извлекат тази бисквитка и да я използват, за да стартират сесия в друг браузър на различна система.
Фишинг
Фишинг, един от най- общи тактики за социално инженерство, често се използва за достъп до втория фактор, когато заплахата вече има вашето потребителско име и парола.
Например, използвате доставчик на софтуер като услуга (SaaS) и вашите идентификационни данни за вход са компрометирани. Хакер ще ви се обади (или ще ви изпрати имейл), представяйки се за вашия доставчик на SaaS, за да поиска втория фактор за проверка. След като споделите кода за потвърждение, хакерът може да получи достъп до вашия акаунт. И те могат да откраднат или криптират данни, засягащи вас и вашия доставчик.
В наши дни хакерите използват усъвършенствани фишинг техники. Така че внимавайте за фишинг атаки.
Какво представлява устойчивото на фишинг MFA?
Устойчивото на фишинг MFA е неподатливо на всички видове социално инженерство, включително фишинг атаки, атаки с пълнене на идентификационни данни, атаки Man-in-the-Middle и други.
Тъй като хората са в центъра на атаките чрез социално инженерство, устойчивият на фишинг MFA премахва човешкия елемент от процеса на удостоверяване.
За да се счита за устойчив на фишинг MFA механизъм, удостоверителят трябва да бъде криптографски свързан с домейна. И трябва да разпознае фалшив домейн, създаден от хакер.
Следното е как работи устойчивата на фишинг технология MFA.
Създайте силно обвързване
В допълнение към регистрацията на вашия удостоверител, вие ще завършите криптографска регистрация, включително проверка на самоличността, за да създадете силна връзка между вашия удостоверител и самоличността доставчик (IDP). Това ще позволи на вашия удостоверител да идентифицира фалшиви уебсайтове.
Използвайте асиметрична криптография
Стабилното обвързване на две страни, базирано на асиметрична криптография (криптография с публичен ключ), елиминира необходимостта от споделени тайни като пароли.
За стартиране на сесии ще са необходими и двата ключа (публични ключове и частни ключове). Хакерите не могат да се удостоверят, за да влязат, тъй като частните ключове ще се съхраняват безопасно в хардуерни ключове за сигурност.
Отговаряйте само на валидни заявки за удостоверяване
Устойчивото на фишинг MFA отговаря само на валидни заявки. Всички опити за имитиране на законни искания ще бъдат осуетени.
Проверете намерението
Устойчивото на фишинг MFA удостоверяване трябва да потвърди намерението на потребителя, като подкани потребителя да предприеме действие, което показва активното участие на потребителя за удостоверяване на заявката за влизане.
Защо трябва да внедрите MFA, устойчив на фишинг
Приемането на устойчив на фишинг MFA предлага множество предимства. Той елиминира човешкия елемент от уравнението. Тъй като системата може автоматично да разпознае фалшив уебсайт или неоторизирана заявка за удостоверяване, тя може да предотврати всички видове фишинг атаки, целящи да подмамят потребителите да дадат идентификационни данни за вход. Следователно, устойчивото на фишинг MFA може да предотврати нарушения на данните във вашата компания.
Нещо повече, добър, устойчив на фишинг MFA, като най-новия метод за удостоверяване FIDO2, подобрява изживяването на потребителите. Това е така, защото можете да използвате биометрични данни или лесни за внедряване ключове за сигурност за достъп до вашите акаунти.
Не на последно място, устойчивият на фишинг MFA повишава сигурността на вашите акаунти и устройства, като по този начин подобрява паша за киберсигурност във вашата компания.
Службата за управление и бюджет на САЩ (OMB) издаде Федерална стратегия за нулево доверие, което изисква федералните агенции да използват само устойчиви на фишинг MFA до края на 2024 г.
Така че можете да разберете, че устойчивото на фишинг MFA е критично за киберсигурността.
Как да внедрите MFA, устойчив на фишинг
Според Доклад за състоянието на защитената самоличност подготвени от екипа на Auth0 на Okta, MFA байпас атаките нарастват.
Тъй като фишингът е водещият вектор на атака при атаки, базирани на самоличност, прилагането на устойчива на фишинг многофакторна автентификация може да ви помогне да защитите вашите акаунти.
FIDO2/WebAuthn Authentication е широко използван метод за удостоверяване, устойчив на фишинг. Позволява ви да използвате общи устройства за удостоверяване в мобилна и настолна среда.
FIDO2 удостоверяването предлага силна сигурност чрез криптографски идентификационни данни за вход, уникални за всеки уебсайт. Идентификационните данни за вход никога не напускат вашето устройство.
Нещо повече, можете да използвате вградени функции на вашето устройство, като четец на пръстови отпечатъци, за да деблокирате криптографски идентификационни данни за вход.
Можеш проверете продуктите на FIDO2 за да изберете правилния продукт за внедряване на устойчив на фишинг MFA.
Друг начин за внедряване на устойчиви на фишинг MFA е използването на решения, базирани на инфраструктура с публичен ключ (PKI). PIV смарт карти, кредитни карти и електронни паспорти използват тази технология, базирана на PKI.
Устойчивото на фишинг MFA е бъдещето
Фишинг атаките се увеличават и прилагането само на традиционни методи за многофакторно удостоверяване не предлага защита от сложни фишинг кампании. Затова внедрете устойчива на фишинг MFA, за да попречите на хакерите да превземат вашите акаунти.
