MFA nije dovoljan

MFA nije srebrni metak: kako napadači zaobilaze višefaktorsku autentifikaciju

Višefaktorska autentifikacija postala je jedan od najčešćih sigurnosnih savjeta. Uvedi MFA i bit ćeš zaštićen. U određenoj mjeri, to je točno. MFA značajno podiže ljestvicu napada i eliminira velik broj automatiziranih prijetnji koje se oslanjaju isključivo na ukradene lozinke. No problem nastaje kada organizacije MFA počnu tretirati kao konačno rješenje, a ne kao jednu od mjera u slojevitoj obrani.

Napadači su to odavno shvatili. I prilagodili su se.

Kako MFA funkcionira, u kratkim crtama

MFA se temelji na ideji da za prijavu nije dovoljno znati lozinku. Korisnik mora dokazati svoj identitet na još jedan način: nešto što ima (mobitel, token), nešto što jest (biometrija) ili nešto što zna uz lozinku.

U praksi to najčešće izgleda ovako: unesete korisničko ime i lozinku, a zatim potvrdite prijavu putem SMS koda, aplikacije kao što je Microsoft ili Google Authenticator, push notifikacije ili fizičkog sigurnosnog ključa.

Svaki od tih oblika nudi drugačiju razinu zaštite. I svaki ima svoje slabosti.

Kako napadači zaobilaze MFA

MFA fatigue: zamaranje korisnika

Jedna od najjednostavnijih, a iznenađujuće učinkovitih tehnika. Napadač koji je već dobio korisničke kredencijale, najčešće phishingom ili kupnjom na dark webu, pokušava se prijaviti iznova i iznova. Svaki pokušaj generira push notifikaciju na korisnikov mobitel.

Korisnik prima desetu, petnaestu, dvadesetu notifikaciju. U jednom trenutku, iz frustracije, umora ili zbunjenosti, pritisne „Odobri“. Napadač je unutra.

Ova tehnika iskorištena je u nekoliko visokoprofilnih napada, uključujući kompromitaciju Ubera 2022. godine. Nije bila potrebna nikakva napredna tehnologija, samo ustrajnost i iskorištavanje ljudske psihologije.

Adversary-in-the-Middle (AiTM): napad posrednikom

Sofisticiranija tehnika koja u potpunosti zaobilazi MFA, čak i kada korisnik ispravno reagira. Napadač postavlja lažnu stranicu koja izgleda identično kao legitimna, primjerice Microsoft 365 prijava. Korisnik unosi korisničko ime, lozinku i MFA kod.

No u tom trenutku, lažna stranica sve te podatke proslijeđuje pravoj stranici u stvarnom vremenu. Microsoft vidi legitimnu prijavu s ispravnim MFA kodom i izdaje sesijski token. Napadač presreće taj token i koristi ga za pristup bez lozinke i bez MFA koda, jer je autentifikacija već obavljena.

Alati kao što je Evilginx2 olakšavaju postavljanje ovakvih napada do te mjere da ih ne moraju provoditi samo napredni napadači.

SIM swapping: preuzimanje broja

Ako se MFA oslanja na SMS kod, napadač može ciljati operatera mobilne mreže. Uz dovoljno osobnih podataka o žrtvi, koji su često dostupni iz prethodnih curenja podataka ili javno dostupnih izvora, napadač uvjeri korisničku podršku da mu prebaci broj na novu SIM karticu.

Od tog trenutka, svi SMS kodovi dolaze napadaču. Žrtva gubi pristup, a napadač ga dobiva.

Social engineering prema helpdesku

Tehnologija nije uvijek najslabija karika. Ponekad je to ljudski faktor unutar same organizacije. Napadač kontaktira IT helpdesk, predstavlja se kao zaposlenik koji je izgubio pristup svom autentifikatoru i traži resetiranje MFA-a.

Bez striktnih procedura verifikacije identiteta, helpdesk može nesvjesno otvoriti vrata napadaču.

Nije svaki MFA jednak

Jedna od najvažnijih stvari koje organizacije trebaju razumjeti jest da MFA nije jedinstven pojam. Postoji jasna hijerarhija od najslabijeg do najjačeg.

SMS kodovi nalaze se na dnu. Osjetljivi su na SIM swapping i presretanje, a telekomunikacijska infrastruktura na kojoj se temelje nije dizajnirana s visokim sigurnosnim zahtjevima.

TOTP aplikacije (Google Authenticator, Microsoft Authenticator u TOTP modu) bolji su izbor, no i dalje su osjetljive na AiTM napade jer korisnik unosi kod koji napadač može presresti u stvarnom vremenu.

Push notifikacije praktične su, ali upravo one omogućuju MFA fatigue napade. Mogu se poboljšati dodavanjem broja koji korisnik mora unijeti u aplikaciju (number matching), što znatno otežava fatigue napade.

Passkeys i FIDO2 sigurnosni ključevi trenutno su jedini oblik MFA koji je otporan na phishing i AiTM napade. Autentifikacija je vezana uz konkretnu domenu, što znači da lažna stranica ne može iskoristiti proces. Korisnik se ne može prevariti da autenticira na krivoj stranici jer autentifikator sam provjerava domenu.

Što zapravo treba napraviti

Uvođenje MFA-a nužan je korak, ali nije dovoljan sam za sebe. Organizacije bi trebale razmotriti nekoliko dodatnih mjera.

Tamo gdje je moguće, preporuča se prijelaz na phishing-resistant MFA, tj. FIDO2 ključeve ili passkeys. To nije uvijek izvedivo za sve korisnike i sustave, no za privilegirane račune i administratore trebalo bi biti standard.

Uvjetni pristup (conditional access) dodaje još jedan sloj provjere. Prijava iz nepoznate lokacije, neregistriranog uređaja ili u neobično vrijeme može automatski zahtijevati dodatnu verifikaciju ili biti u potpunosti blokirana, čak i uz ispravan MFA kod.

Edukacija korisnika ostaje ključna. Korisnici moraju znati da nikada ne smiju odobravati push notifikacije koje nisu sami inicirali te da legitiman IT helpdesk neće nikada tražiti resetiranje MFA-a bez striktne provjere identiteta.

Konačno, praćenje i analiza autentikacijskih zapisa može otkriti neobične obrasce: višestruke neuspjele MFA pokušaje, prijave iz neočekivanih lokacija ili nagle promjene uređaja koje mogu signalizirati napad.

MFA je potreban, ali nije dovoljan

MFA eliminira veliki broj napada i svaka bi ga organizacija trebala uvesti. No tretirati ga kao završnu crtu obrane pogrešno je razumijevanje moderne prijetnje.

Napadači se prilagodavaju. Tehnike koje su nekada bile rezervirane za napredne aktere danas su dostupne alatima koje svaki napadač može koristiti. Obrana mora biti slojevita. MFA je jedan od tih slojeva, ali ne i jedini.

Pravo pitanje nije „imamo li MFA?“, nego „koliko je naš MFA otporan i što radimo ako ga netko zaobide?“

‍