Wieloskładnikowe uwierzytelnianie (MFA) od lat uchodzi za skuteczne i stosunkowo niedrogie zabezpieczenie przed phishingiem. Jednak cyberprzestępcy już dawno nauczyli się je obchodzić, by uzyskać dostęp do firmowej infrastruktury IT.
„Cyberprzestępcy coraz częściej potrafią ominąć mechanizmy MFA” – mówi Thorsten Rosendahl z Cisco Talos. „Obserwujemy wyraźny wzrost liczby ataków typu adversary-in-the-middle. To oznacza, że firmy nie mogą już polegać wyłącznie na dotychczasowych, sprawdzonych środkach ochrony – muszą ponownie je przemyśleć i dostosować”.
Cisco Talos przedstawia najnowsze techniki, narzędzia i luki wykorzystywane obecnie przez cyberprzestępców do obchodzenia zabezpieczeń MFA:
- Coraz więcej atakujących wykorzystuje technikę adversary-in-the-middle (AiTM). Zamiast tworzyć fałszywe strony logowania – jak w klasycznych kampaniach phishingowych – stosują odwrócone serwery proxy, które łączą się bezpośrednio ze stroną docelową. Ofiara myśli, że korzysta z usługi jak zwykle, ale w rzeczywistości przesyła dane przez serwer należący do atakującego. Gdy pojawia się prośba o uwierzytelnienie MFA i użytkownik ją zatwierdza, cyberprzestępca przechwytuje ciasteczko uwierzytelniające, uzyskując pełen dostęp do aktywnej sesji.
- Gotowe zestawy narzędzi typu Phishing-as-a-Service (PhaaS), takie jak Evilproxy czy Tycoon 2FA, obniżają próg wejścia dla cyberprzestępców. Dzięki szablonom, filtrom IP i user-agent oraz mechanizmom omijania zabezpieczeń, nawet osoby bez zaawansowanej wiedzy technicznej mogą przeprowadzać rozbudowane ataki na dużą skalę.
- Tradycyjne metody ochrony przestają wystarczać – filtry antyspamowe, szkolenia dla pracowników czy proste MFA oparte na haśle i powiadomieniu push można łatwo obejść, jeśli atakujący dysponuje odpowiednią infrastrukturą. Szczególnie niebezpieczna jest sytuacja, gdy po przejęciu dostępu przestępca dodaje własne urządzenia MFA do konta – taki krok często pozostaje niezauważony.
Kluczowa jest dziś odpowiednia prewencja – organizacje, które inwestują w trwałe i odporne metody uwierzytelniania, lepiej radzą sobie z wyrafinowanymi technikami phishingowymi, znacząco zwiększając poziom bezpieczeństwa i ograniczając pole działania cyberprzestępców.
Jednym z najbardziej obiecujących rozwiązań jest WebAuthn – standaryzowana, bezhasłowa metoda uwierzytelniania oparta na kryptografii publicznej. MFA w tej wersji wykorzystuje klucze kryptograficzne powiązane z oryginalną domeną witryny, co praktycznie uniemożliwia ich podrobienie przez fałszywe strony czy serwery proxy.
Niemniej jednak, WebAuthn wciąż jest rzadko stosowane w firmach. Cisco Talos zaleca ponowną ocenę strategii MFA i oferuje wsparcie w dostosowaniu ich do nowych wyzwań – od nowoczesnej analizy sieci IT, przez ochronę aplikacji opartych na AI, po kompleksowe architektury bezpieczeństwa w modelu Zero Trust.
