Η άνοδος του κιτ phishing Tycoon 2FA θα πρέπει να χρησιμεύσει ως παγκόσμια προειδοποιητική σειρήνα για κάθε επιχείρηση. Αυτό δεν είναι εργαλείο για ελίτ χάκερ. Αυτό είναι ένα κιτ με το κλειδί στο χέρι που μπορεί να χρησιμοποιήσει οποιοσδήποτε με πρόγραμμα περιήγησης για να παρακάμψει τις ίδιες τις εφαρμογές MFA και εξουσιοδότησης από τις οποίες εξαρτώνται οι εταιρείες. Και χρησιμοποιείται σε κλίμακα.
Πάνω από 64.000 επιθέσεις έχουν ήδη παρακολουθηθεί φέτος, πολλές από τις οποίες στοχεύουν το Microsoft 365 και το Gmail επειδή αυτές οι πλατφόρμες αντιπροσωπεύουν την πιο εύκολη και γρήγορη διαδρομή σε μια επιχείρηση.
Το ηλεκτρονικό ψάρεμα ως υπηρεσία, δεν απαιτείται δεξιότητα
Η δύναμη του Tycoon 2FA προέρχεται από την άρση της ανάγκης για τεχνικές δεξιότητες. Είναι το Phishing ως Υπηρεσία, πλήρως συσκευασμένο, γυαλισμένο και αυτοματοποιημένο. Ένας έφηβος που δεν μπορεί να γράψει μια γραμμή κώδικα μπορεί να τον αναπτύξει. Το κιτ καθοδηγεί τον χειριστή στη ρύθμιση. Παρέχει ψεύτικες σελίδες σύνδεσης. Περιστρέφει αντίστροφους διακομιστές μεσολάβησης.
Κάνει όλη τη βαριά άρση. Ο εισβολέας απλώς στέλνει έναν σύνδεσμο σε εκατοντάδες υπαλλήλους σας και περιμένει να δαγκώσει ένας.
Αναμετάδοση MFA σε πραγματικό χρόνο και ανάληψη συνολικής περιόδου λειτουργίας
Μόλις το θύμα κάνει κλικ, το Tycoon 2FA κάνει τα υπόλοιπα. Αναχαιτίζει ονόματα χρήστη και κωδικούς πρόσβασης σε πραγματικό χρόνο. Καταγράφει cookies περιόδου λειτουργίας. Εκτελεί μεσολάβηση της ροής MFA απευθείας στη Microsoft ή την Google. Το θύμα πιστεύει ότι απλώς περνά έναν έλεγχο ασφαλείας, αλλά επαληθεύει την ταυτότητα του εισβολέα.
Αυτό είναι το τρομακτικό κομμάτι. Ακόμη και καλά εκπαιδευμένοι χρήστες το κάνουν αυτό, επειδή όλα φαίνονται πανομοιότυπα με τέλεια pixel. Οι σελίδες είναι δυναμικές, αντλώντας ζωντανές απαντήσεις από νόμιμους διακομιστές.
Εάν η Microsoft πει εισαγάγετε τον κωδικό σας, η σελίδα ενημερώνεται αμέσως. Εάν η Google στείλει ένα μήνυμα προτροπής, εμφανίζεται ακριβώς όπως αναμένεται. Δεν υπάρχει ορατή διαφορά. Δεν υπάρχει καμία ένδειξη. Και δεν υπάρχει τρόπος να το σταματήσει καμία παλαιού τύπου εφαρμογή MFA ή έλεγχος ταυτότητας, επειδή ο Tycoon είναι άνθρωπος στη μέση από το σχεδιασμό.
Κατασκευασμένο για να αποφεύγει την ανίχνευση
Γίνεται χειρότερο. Το Tycoon 2FA περιλαμβάνει επίπεδα κατά της ανίχνευσης που ανταγωνίζονται τα εμπορικά στελέχη κακόβουλου λογισμικού. Κωδικοποίηση Base64. Συμπίεση χορδών LZ. Το DOM εξαφανίζεται. Συσκότιση CryptoJS. Αυτοματοποιημένο φιλτράρισμα bot. Προκλήσεις CAPTCHA. Έλεγχοι προγράμματος εντοπισμού σφαλμάτων.
Το κιτ κρύβεται από σαρωτές και ερευνητές. Αποκαλύπτει την πραγματική του συμπεριφορά μόνο όταν φτάσει ένας ανθρώπινος στόχος. Και μόλις ολοκληρώσει το ρελέ ελέγχου ταυτότητας, ο εισβολέας αποκτά πλήρη πρόσβαση σε περίοδο λειτουργίας εντός του Microsoft 365 ή του Gmail.
Από εκεί μετακινούνται πλευρικά σε SharePoint, OneDrive, email, Teams, συστήματα HR, συστήματα χρηματοδότησης. Ένα επιτυχημένο phish δημιουργεί πλήρη συμβιβασμό.
Το ebook «Οδηγός CISO: Σταματώντας το Ransomware με το Next-Gen MFA» διερευνά πώς εξελίσσονται οι επιθέσεις ransomware και γιατί το παλαιωμένο MFA δεν μπορεί να συμβαδίσει.
Αυτός ο ουσιαστικός οδηγός αποκαλύπτει τον πραγματικό αντίκτυπο του MFA που είναι ανθεκτικό στο phishing, πώς σταματά το ransomware πριν γίνει η ζημιά και γιατί οι CISO κάνουν τη μετάβαση σε βιομετρική ταυτότητα απόδειξης phishing.
Το Υπουργείο Εξωτερικών παλαιού τύπου έχει ήδη καταρρεύσει
Αυτός είναι ο λόγος για τον οποίο το κληροδοτημένο MFA έχει καταρρεύσει. Μόλις το λανσάρετε αυτό κάνει την εταιρεία σας ένα honeypot. Κωδικοί SMS. Push ειδοποιήσεις. Εφαρμογές TOTP. Όλοι μοιράζονται το ίδιο ελάττωμα. Βασίζονται στη συμπεριφορά των χρηστών. Εξαρτώνται από την ελπίδα ότι ένας χρήστης θα παρατηρήσει ότι κάτι δεν πάει καλά.
Προσφέρουν στους εισβολείς κοινά μυστικά που μπορούν να υποκλαπούν, να προωθηθούν ή να αναπαραχθούν. Το Tycoon 2FA και δεκάδες παρόμοια κιτ εκμεταλλεύονται ακριβώς αυτό. Μετατρέπουν τον χρήστη σε διάνυσμα επίθεσης. Ακόμη και οι κωδικοί πρόσβασης αποδεικνύονται ευάλωτοι όταν συγχρονίζονται μέσω λογαριασμών cloud ή όταν υπάρχουν εναλλακτικές διαδρομές ανάκτησης που μπορούν να σχεδιαστούν κοινωνικά.
Οι επιτιθέμενοι το καταλαβαίνουν απόλυτα. Εγκληματικές ομάδες όπως οι Scattered Spider, Octo Tempest και Storm 1167 χρησιμοποιούν αυτά τα κιτ καθημερινά. Είναι η ταχύτερα αναπτυσσόμενη μέθοδος επίθεσης στον κόσμο επειδή είναι εύκολη, επεκτάσιμη και δεν απαιτεί τεχνική πολυπλοκότητα.
Οι εταιρείες κυκλοφορούν εφαρμογές MFA και ελέγχου ταυτότητας μόνο για να ανακαλύψουν ότι αυτά τα συστήματα καταρρέουν τη στιγμή που ένα κιτ phishing αποφασίζει να τα στοχεύσει. Η αλήθεια είναι απλή. Εάν κάποιος μπορεί να ξεγελάσει τον υπάλληλο σας ώστε να εισαγάγει έναν κωδικό ή να εγκρίνει ένα μήνυμα, ο εισβολέας κερδίζει. Και ο Tycoon κάνει ακριβώς αυτό.
The Path Forward: Phishing-Proof MFA
Αλλά υπάρχει ένας δρόμος προς τα εμπρός και είναι γρήγορο και εύκολο να αναπτυχθεί. Βιομετρική ταυτότητα απόδειξης phishing βασισμένη στο υλικό FIDO2. Έλεγχος ταυτότητας που βασίζεται σε εγγύτητα, δεσμεύεται στον τομέα και είναι αδύνατο να αναμεταδοθεί ή να πλαστογραφηθεί. Ένα σύστημα όπου δεν υπάρχουν κωδικοί για εισαγωγή, δεν υπάρχουν προτροπές για έγκριση, κανένα κοινό μυστικό για υποκλοπή και κανένας τρόπος εξαπάτησης του χρήστη για να βοηθήσει τον εισβολέα.
Ένα σύστημα που απορρίπτει αυτόματα ψεύτικους ιστότοπους. Ένα σύστημα που επιβάλλει μια ζωντανή αντιστοίχιση βιομετρικών δακτυλικών αποτυπωμάτων σε μια φυσική συσκευή που πρέπει να βρίσκεται κοντά στον υπολογιστή στον οποίο είναι συνδεδεμένος.
Αυτό αλλάζει τα πάντα επειδή αφαιρεί τον χρήστη από το δέντρο αποφάσεων. Αντί να ελπίζει κάποιος να αναγνωρίσει μια ψεύτικη σελίδα σύνδεσης, ο ίδιος ο έλεγχος ταυτότητας ελέγχει την προέλευση κρυπτογραφικά.
Αντί να ελπίζει ότι κάποιος απορρίπτει ένα κακόβουλο αίτημα push, ο έλεγχος ταυτότητας δεν λαμβάνει ποτέ καθόλου αίτημα push. Αντί να ζητά από τους ανθρώπους να είναι τέλειοι, το σύστημα επαληθεύει την ταυτότητα με υλικό και όχι με κρίση.
Το Token Model
Αυτό είναι το μοντέλο πίσω Token Ring και Token BioStick. Απόδειξη phishing από την αρχιτεκτονική. Βιομετρική κατά απαίτηση. Η εγγύτητα βασίζεται από προεπιλογή. Τομέας που δεσμεύεται από κρυπτογραφία.
Δεν υπάρχει κωδικός για κλοπή. Δεν υπάρχει έγκριση για κόλπο. Δεν υπάρχει ροή ανάκτησης για να την εκμεταλλευτεί ένας απατεώνας. Ακόμα κι αν ένας χρήστης κάνει κλικ σε λάθος σύνδεσμο. Ακόμα κι αν ένας χρήστης παραδώσει έναν κωδικό πρόσβασης (αν έχει ακόμη και έναν). Ακόμα κι αν τηλεφωνήσει ένας κοινωνικός μηχανικός προσποιούμενος ότι είναι πληροφορική. Ο έλεγχος ταυτότητας απλώς αποτυγχάνει επειδή ο τομέας δεν ταιριάζει και το δακτυλικό αποτύπωμα δεν υπάρχει.
Το Tycoon 2FA χτυπά σε τοίχο. Το ρελέ σπάει. Η επίθεση πεθαίνει ακαριαία. Και αυτές οι λύσεις είναι φθηνές και διαθέσιμες σήμερα.
Οι επιχειρήσεις που χρησιμοποιούν αυτές τις συσκευές αναφέρουν κάτι σημαντικό. Οι εργαζόμενοι συμμορφώνονται εύκολα με αυτήν την ασύρματη λύση χωρίς κωδικό πρόσβασης. Ο έλεγχος ταυτότητας είναι γρήγορος (2 δευτερόλεπτα). Δεν υπάρχει τίποτα να θυμάστε. Δεν υπάρχει τίποτα για να πληκτρολογήσετε. Τίποτα προς έγκριση. Είναι μια καλύτερη εμπειρία χρήστη και μια πολύ ισχυρότερη στάση ασφαλείας.
Όταν η ταυτότητα συνδέεται με μια φυσική βιομετρική συσκευή που επιβάλλει ελέγχους προέλευσης και απαιτήσεις εγγύτητας, τα κιτ ηλεκτρονικού ψαρέματος καθίστανται άσχετα.
Η πραγματικότητα που πρέπει να αντιμετωπίσει κάθε επιχείρηση
Αυτή είναι η στιγμή που κάθε επιχείρηση πρέπει να αποδεχθεί. Οι επιθετικοί έχουν εξελιχθεί και πρέπει να εξελιχθούν και οι άμυνες. Το κληρονομικό Υπουργείο Εξωτερικών δεν μπορεί να επιβιώσει αυτής της απειλής. Οι εφαρμογές ελέγχου ταυτότητας δεν μπορούν να επιβιώσουν από αυτήν την απειλή. Οι κωδικοί πρόσβασης παλεύουν κάτω από αυτό. Το Tycoon 2FA αποδεικνύει ότι κάθε σύστημα που ζητά από τους χρήστες να εισαγάγουν ή να εγκρίνουν οτιδήποτε μπορεί να νικηθεί σε δευτερόλεπτα.
Εδώ είναι η αλήθεια σε απλή γλώσσα. Εάν το MFA σας μπορεί να ξεγελαστεί από έναν ψεύτικο ιστότοπο, έχει ήδη παραβιαστεί. Εάν ο έλεγχος ταυτότητας μπορεί να αναμεταδοθεί, θα γίνει. Εάν το σύστημά σας εξαρτάται από την κρίση του χρήστη, θα αποτύχει. Η ταυτότητα που βασίζεται σε βιομετρικό υλικό, η οποία είναι ανθεκτική στο ηλεκτρονικό ψάρεμα, δεσμευμένη εγγύτητα και κλειδωμένο τομέα είναι ο μόνος δρόμος προς τα εμπρός.
Οι εγκληματίες έχουν αναβαθμιστεί. Τώρα είναι η σειρά σου. Αναβαθμίστε το επίπεδο ταυτότητάς σας προτού το Tycoon ή οι διάδοχοί του σας κάνουν τον επόμενο τίτλο.
Τα προϊόντα Token είναι πλέον διαθέσιμα στο διαδίκτυο: https://store.tokenring.com
VIA: bleepingcomputer.com
