آخرین هک یک شرکت معروف نشان میدهد که مهاجمان به طور فزایندهای در حال یافتن راههایی برای دور زدن طرحهای احراز هویت چند عاملی (MFA) هستند – بنابراین کارکنان همچنان آخرین خط دفاعی مهم هستند.
در 9 ژانویه، Reddit به کاربران خود اطلاع داد که یک عامل تهدید با موفقیت یک کارمند را متقاعد کرده است که روی پیوندی در ایمیلی که به عنوان بخشی از حمله spearphish ارسال شده است، کلیک کند، که منجر به ایجاد “وب سایتی شد که رفتار دروازه اینترانت ما را شبیه سازی کرد، در تلاش برای سرقت اعتبار و توکن های فاکتور دوم.”
Reddit در مشاوره خود اعلام کرد که به خطر افتادن اعتبار کارمند به مهاجم اجازه می دهد تا برای چند ساعت سیستم های Reddit را بررسی کند و به اسناد داخلی، داشبورد و کد دسترسی داشته باشد.
کریس اسلو، مدیر ارشد فناوری Reddit (معروف به KeyserSosa) در یک AMA ادامه داد: این شرکت به تحقیقات ادامه می دهد، اما هنوز هیچ مدرکی مبنی بر دسترسی مهاجم به داده های کاربر یا سیستم های تولید وجود ندارد.
او گفت: «اثبات منفی بسیار دشوار است و همچنین چرا همانطور که گفته شد ما به تحقیق ادامه می دهیم. “بار اثبات در حال حاضر پشتیبانی می کند که دسترسی به خارج از پشته اصلی تولید محدود شده است.”
Reddit آخرین شرکت نرمافزاری است که طعمه یک حمله مهندسی اجتماعی شد که اعتبار کارگران را جمعآوری کرد و منجر به نقض سیستمهای حساس شد. در اواخر ژانویه، Riot Games، سازنده بازی چندنفره محبوب League of Legends، اعلام کرد که “از طریق یک حمله مهندسی اجتماعی” با عوامل تهدید به سرقت کد و به تاخیر انداختن توانایی شرکت برای انتشار بهروزرسانیها دچار سازش شده است. چهار ماه قبل، مهاجمان با موفقیت کد منبع را از استودیوی Rockstar Games Take Two Interactive، سازنده مجموعه Grand Theft Auto، با استفاده از اعتبارنامههای به خطر انداخته، به خطر انداختند و سرقت کردند.
هزینه حتی نقض های جزئی ناشی از حملات فیشینگ و سرقت اعتبار همچنان بالاست. طبق گزارش “روندهای امنیت ایمیل 2023” منتشر شده توسط Barracuda Networks، در یک نظرسنجی از 1350 متخصص فناوری اطلاعات و مدیران امنیت فناوری اطلاعات، سه چهارم (75٪) گفتند که شرکت آنها در سال گذشته با یک حمله ایمیل موفقیت آمیز مواجه شده است. ارائه دهنده برنامه کاربردی و حفاظت از داده ها علاوه بر این، یک شرکت متوسط شاهد بود که گرانترین حملهاش بیش از 1 میلیون دلار خسارت و هزینه بازیابی را به همراه داشت.
با این حال، شرکت ها برای مقابله با فیشینگ و نیزه فیشینگ احساس آمادگی می کنند و تنها 26% و 21% از پاسخ دهندگان می ترسند که آمادگی لازم را نداشته باشند. این یک بهبود نسبت به 47 درصد و 36 درصد است که نگران عدم آمادگی شرکت هایشان در سال 2019 بودند. این گزارش نشان می دهد که نگرانی ها در مورد تصاحب حساب ها رایج تر شده است.
“[W]سازمانها ممکن است برای جلوگیری از حملات فیشینگ احساس آمادگی بهتری داشته باشند، آنها برای مقابله با تصاحب حساب، که معمولاً محصول جانبی یک حمله فیشینگ موفق است، آماده نیستند. اکثر کارکنان آنها از راه دور کار می کنند.”
اثبات بیشتر اینکه 2FA کافی نیست
برای جلوگیری از حملات مبتنی بر اعتبار، شرکتها به سمت MFA حرکت میکنند، معمولاً به شکل احراز هویت دو مرحلهای (2FA)، که در آن رمز عبور یکبار مصرف از طریق متن یا ایمیل ارسال میشود. به عنوان مثال، Reddit’s Slowe تأیید کرد که این شرکت به 2FA نیاز دارد. او در طول AMA گفت: “بله. برای همه کارمندان لازم است، هم برای استفاده در Reddit و هم برای تمام دسترسی های داخلی.”
اما تکنیکهایی مانند خستگی MFA یا “بمبباران” – همانطور که در حمله پاییز گذشته Uber مشاهده شد – رسیدن به 2FA را به یک بازی اعداد ساده تبدیل میکند. در آن سناریو، مهاجمان حملات فیشینگ هدفمند مکرر را برای کارمندان ارسال میکنند تا زمانی که فردی از اعلانها خسته شود و اعتبار خود و رمز عبور یکبار مصرف را رها کند.
حرکت به سطح بعدی فراتر از 2FA در حال رخ دادن است. تونیا دادلی، CISO در Cofense میگوید، برای مثال، ارائهدهندگان فناوریهای مدیریت هویت و دسترسی، اطلاعات بیشتری در مورد درخواستهای دسترسی، مانند مکان کاربر، اضافه میکنند تا زمینهای را اضافه کنند که میتواند برای کمک به تعیین اینکه آیا دسترسی باید احراز هویت شود یا خیر. شرکت حفاظت از فیشینگ
او میگوید: «بازیگران تهدید همیشه به دنبال راههایی برای حرکت در اطراف کنترلهای فنی که ما اجرا میکنیم، خواهند بود. سازمانها باید همچنان استفاده از MFA را اجرا کنند و به تنظیم کنترل برای محافظت از کارکنان ادامه دهند.»
مقاله کامل را در سایت خواهر ما Dark Reading مشاهده کنید.