هک Reddit محدودیت های MFA، نقاط قوت آموزش امنیتی را نشان می دهد | دانش مرکز داده

آخرین هک یک شرکت معروف نشان می‌دهد که مهاجمان به طور فزاینده‌ای در حال یافتن راه‌هایی برای دور زدن طرح‌های احراز هویت چند عاملی (MFA) هستند – بنابراین کارکنان همچنان آخرین خط دفاعی مهم هستند.

در 9 ژانویه، Reddit به کاربران خود اطلاع داد که یک عامل تهدید با موفقیت یک کارمند را متقاعد کرده است که روی پیوندی در ایمیلی که به عنوان بخشی از حمله spearphish ارسال شده است، کلیک کند، که منجر به ایجاد “وب سایتی شد که رفتار دروازه اینترانت ما را شبیه سازی کرد، در تلاش برای سرقت اعتبار و توکن های فاکتور دوم.”

Reddit در مشاوره خود اعلام کرد که به خطر افتادن اعتبار کارمند به مهاجم اجازه می دهد تا برای چند ساعت سیستم های Reddit را بررسی کند و به اسناد داخلی، داشبورد و کد دسترسی داشته باشد.

کریس اسلو، مدیر ارشد فناوری Reddit (معروف به KeyserSosa) در یک AMA ادامه داد: این شرکت به تحقیقات ادامه می دهد، اما هنوز هیچ مدرکی مبنی بر دسترسی مهاجم به داده های کاربر یا سیستم های تولید وجود ندارد.

او گفت: «اثبات منفی بسیار دشوار است و همچنین چرا همانطور که گفته شد ما به تحقیق ادامه می دهیم. “بار اثبات در حال حاضر پشتیبانی می کند که دسترسی به خارج از پشته اصلی تولید محدود شده است.”

Reddit آخرین شرکت نرم‌افزاری است که طعمه یک حمله مهندسی اجتماعی شد که اعتبار کارگران را جمع‌آوری کرد و منجر به نقض سیستم‌های حساس شد. در اواخر ژانویه، Riot Games، سازنده بازی چندنفره محبوب League of Legends، اعلام کرد که “از طریق یک حمله مهندسی اجتماعی” با عوامل تهدید به سرقت کد و به تاخیر انداختن توانایی شرکت برای انتشار به‌روزرسانی‌ها دچار سازش شده است. چهار ماه قبل، مهاجمان با موفقیت کد منبع را از استودیوی Rockstar Games Take Two Interactive، سازنده مجموعه Grand Theft Auto، با استفاده از اعتبارنامه‌های به خطر انداخته، به خطر انداختند و سرقت کردند.

هزینه حتی نقض های جزئی ناشی از حملات فیشینگ و سرقت اعتبار همچنان بالاست. طبق گزارش “روندهای امنیت ایمیل 2023” منتشر شده توسط Barracuda Networks، در یک نظرسنجی از 1350 متخصص فناوری اطلاعات و مدیران امنیت فناوری اطلاعات، سه چهارم (75٪) گفتند که شرکت آنها در سال گذشته با یک حمله ایمیل موفقیت آمیز مواجه شده است. ارائه دهنده برنامه کاربردی و حفاظت از داده ها علاوه بر این، یک شرکت متوسط ​​شاهد بود که گران‌ترین حمله‌اش بیش از 1 میلیون دلار خسارت و هزینه بازیابی را به همراه داشت.

با این حال، شرکت ها برای مقابله با فیشینگ و نیزه فیشینگ احساس آمادگی می کنند و تنها 26% و 21% از پاسخ دهندگان می ترسند که آمادگی لازم را نداشته باشند. این یک بهبود نسبت به 47 درصد و 36 درصد است که نگران عدم آمادگی شرکت هایشان در سال 2019 بودند. این گزارش نشان می دهد که نگرانی ها در مورد تصاحب حساب ها رایج تر شده است.

“[W]سازمان‌ها ممکن است برای جلوگیری از حملات فیشینگ احساس آمادگی بهتری داشته باشند، آنها برای مقابله با تصاحب حساب، که معمولاً محصول جانبی یک حمله فیشینگ موفق است، آماده نیستند. اکثر کارکنان آنها از راه دور کار می کنند.”

اثبات بیشتر اینکه 2FA کافی نیست

برای جلوگیری از حملات مبتنی بر اعتبار، شرکت‌ها به سمت MFA حرکت می‌کنند، معمولاً به شکل احراز هویت دو مرحله‌ای (2FA)، که در آن رمز عبور یک‌بار مصرف از طریق متن یا ایمیل ارسال می‌شود. به عنوان مثال، Reddit’s Slowe تأیید کرد که این شرکت به 2FA نیاز دارد. او در طول AMA گفت: “بله. برای همه کارمندان لازم است، هم برای استفاده در Reddit و هم برای تمام دسترسی های داخلی.”

اما تکنیک‌هایی مانند خستگی MFA یا “بمب‌باران” – همانطور که در حمله پاییز گذشته Uber مشاهده شد – رسیدن به 2FA را به یک بازی اعداد ساده تبدیل می‌کند. در آن سناریو، مهاجمان حملات فیشینگ هدفمند مکرر را برای کارمندان ارسال می‌کنند تا زمانی که فردی از اعلان‌ها خسته شود و اعتبار خود و رمز عبور یک‌بار مصرف را رها کند.

حرکت به سطح بعدی فراتر از 2FA در حال رخ دادن است. تونیا دادلی، CISO در Cofense می‌گوید، برای مثال، ارائه‌دهندگان فناوری‌های مدیریت هویت و دسترسی، اطلاعات بیشتری در مورد درخواست‌های دسترسی، مانند مکان کاربر، اضافه می‌کنند تا زمینه‌ای را اضافه کنند که می‌تواند برای کمک به تعیین اینکه آیا دسترسی باید احراز هویت شود یا خیر. شرکت حفاظت از فیشینگ

او می‌گوید: «بازیگران تهدید همیشه به دنبال راه‌هایی برای حرکت در اطراف کنترل‌های فنی که ما اجرا می‌کنیم، خواهند بود. سازمان‌ها باید همچنان استفاده از MFA را اجرا کنند و به تنظیم کنترل برای محافظت از کارکنان ادامه دهند.»

مقاله کامل را در سایت خواهر ما Dark Reading مشاهده کنید.

سئو PBN | خبر های جدید سئو و هک و سرور