Hálózati rémtörténetek 2.: MFA kijátszása egy IT biztonsági támadás során (Esettanulmány)

Hálózati rémtörténetek 2 ESETTANULMÁNY IT biztonságot növelő tippekkel

Folytatjuk a Hálózati rémtörténetek, IT biztonságot erősítő javaslatok sorozatunkat a következő, valós esettanulmánnyal. Az előző cikkünkben részletesen bemutattunk egy Phishing (BEC) + Invoice fraud horrorsztorit és a lépéseket, amivel elkerülhető lehetett volna a kibertámadás okozta kár.

Most egy újabb, megtörtént esetet feldolgozva szeretnénk bemutatni, hogyan lehet kijátszani még a többfaktoros hitelesítést (MFA) is, és milyen lépéseket tehetünk az ilyen támadások ellen.

A hálózati rémtörténet leírása

Események időbeli lefolyása

➡️ 1. Szerződéstervezet érkezése: Egy cég kapott egy szerződéstervezetet partnerétől egy Docusign e-mail formájában, amit egy, a cégnél dolgozó személy küldött.

➡️ 2. Email link: A partner megnyitotta az e-mailben szereplő linket, mivel valóban vártak a tervezetre.

➡️ 3. M365 belépési kérés: A szerződés megnyitásához a rendszer Microsoft 365 belépést kért.

A támadás leírása

➡️ 1. PhaaS és AiTM támadás: A támadók Phishing-as-a-Service (PhaaS) „szolgáltatással” egy Adversary-in-the-Middle (AiTM) támadást alkalmaztak, Docusign és MS portal klónokat használtak, hogy megszerezzék a felhasználók bejelentkezési adatait. Mivel a kéréseket továbbították a valós M365 belépés irányába így az MFA folyamat is lezajlott menet közben.

➡️ 2. Session cookie lopás: Az előbb bemutatott eltérített felhasználói hitelesítési folyamat után megszerezték a session sütiket, amikkel később be tudtak lépni a rendszerbe (folytatták a session-t) az MFA megkerülésével.

Megoldások és javaslatok

Phishing resistant MFA

A támadások ellen hatékony védekezési módok közé tartozik a phishing resistant MFA használata. A FIDO2 és WebAuthN technológiák jelentős biztonsági előnyöket kínálnak, mivel biztosítják a login oldal hitelességét PKI (Public Key Infrastructure) segítségével.

Kép forrása: SurePassId honlapja

Kép forrása: Részlet a THE IT Solutions Kft. egyik prezentációjából

További IT biztonsági javaslatok

Korszerű email védelem: Az email a leggyakoribb támadási felület, ezért ajánlott többszintű email védelmet alkalmazni, lehetőség szerint több gyártótól származó megoldások kombinációjával.
MFA kötelezővé tétele: Az MFA használata ne csak ajánlás, hanem kötelező elem legyen. Ha lehetőség van rá, használjunk FIDO2 hardverkulcsokat, amelyek phishing resistant tulajdonságokkal bírnak.
Rendszerek frissítése és pentest: A sérülékenységek folyamatos foltozása és a rendszerek rendszeres frissítése elengedhetetlen. Érdemes rendszeresen pentesteket végeztetni a biztonsági rések feltárása érdekében.
Folyamatos biztonsági felügyelet: Rendszereink biztonsági felügyeletének folyamatos biztosítása és rendszeres felülvizsgálata alapvető fontosságú.
Felhasználók oktatása: A felhasználók és rendszergazdák rendszeres oktatása és képzése kulcsfontosságú a biztonsági tudatosság növelésében.

Záró gondolatok

Az IT biztonság soha nem lehet egy lezárt projekt, hanem folyamatos fejlődést és alkalmazkodást igényel. A technológia fejlődésével a támadók módszerei is egyre kifinomultabbak, ezért elengedhetetlen, hogy naprakészek maradjunk a legújabb védelmi technikák és stratégiák terén. Az esettanulmányban bemutatott támadás rávilágít arra, hogy mennyire fontos a többfaktoros hitelesítés (MFA) és a korszerű biztonsági megoldások alkalmazása a vállalatok védelmében.

Ha szeretné elkerülni, hogy egy hasonló IT biztonsági rémtörténet főszereplője legyen, lépjen kapcsolatba velünk! IT biztonsági szakértőink segítenek Önnek megvédeni vállalatát a legmodernebb biztonsági megoldásokkal. Kérjen konzultációt szakértői csapatunktól a sales@theit.hu email címen, hogy közösen biztosíthassuk rendszerei védelmét.