Posted by Dalam hal keamanan akses, ada satu rekomendasi yang menonjol dibandingkan rekomendasi lainnya: autentikasi multi-faktor (MFA). Karena kata sandi saja merupakan pekerjaan mudah bagi peretas, MFA memberikan lapisan perlindungan penting terhadap pelanggaran. Namun, penting untuk diingat bahwa MFA bukanlah solusi yang mudah. Hal ini dapat dilewati, dan sering kali demikian.
Jika kata sandi dibobol, ada beberapa opsi yang tersedia bagi peretas yang ingin menghindari perlindungan tambahan MFA. Kami akan mengeksplorasi empat taktik rekayasa sosial yang berhasil digunakan peretas untuk melanggar MFA dan menekankan pentingnya memiliki kata sandi yang kuat sebagai bagian dari pertahanan berlapis.
1. Serangan musuh di tengah (AITM).#
Serangan AITM melibatkan penipuan pengguna agar percaya bahwa mereka masuk ke jaringan, aplikasi, atau situs web asli. Tapi sungguh, mereka memberikan informasi mereka kepada orang yang mirip dan palsu. Hal ini memungkinkan peretas mencegat kata sandi dan memanipulasi tindakan keamanan, termasuk perintah MFA. Misalnya, email spear-phishing mungkin masuk ke kotak masuk karyawan, menyamar sebagai sumber tepercaya. Mengklik tautan yang tertanam mengarahkan mereka ke situs web palsu tempat peretas mengumpulkan kredensial login mereka.
Meskipun MFA idealnya mencegah serangan ini dengan memerlukan faktor autentikasi tambahan, peretas dapat menggunakan teknik yang dikenal sebagai ‘2FA pass-on’. Setelah korban memasukkan kredensial mereka di situs palsu, penyerang segera memasukkan rincian yang sama di situs yang sah. Hal ini memicu permintaan MFA yang sah, yang diantisipasi dan disetujui oleh korban, tanpa disadari memberikan akses penuh kepada penyerang.
Ini adalah taktik umum yang dilakukan kelompok ancaman seperti Storm-1167 , yang dikenal karena membuat halaman autentikasi Microsoft palsu untuk mengambil kredensial. Mereka juga membuat halaman phishing kedua yang meniru langkah MFA pada proses login Microsoft, meminta korban untuk memasukkan kode MFA mereka dan memberikan akses kepada penyerang. Dari sana, mereka mendapatkan akses ke akun email yang sah dan dapat menggunakannya sebagai platform untuk serangan phishing multi-tahap.
2. Pengeboman cepat MFA#
Taktik ini memanfaatkan fitur pemberitahuan push di aplikasi autentikasi modern. Setelah membobol kata sandi, penyerang mencoba masuk yang mengirimkan perintah MFA ke perangkat pengguna yang sah. Mereka bergantung pada pengguna yang salah mengira itu sebagai perintah asli dan menerimanya atau menjadi frustrasi dengan perintah yang terus-menerus dan menerima perintah untuk menghentikan notifikasi. Teknik ini, yang dikenal sebagai pengeboman cepat MFA , menimbulkan ancaman yang signifikan.
Dalam sebuah insiden penting, peretas dari grup 0ktapus membobol kredensial login kontraktor Uber melalui SMS phishing, kemudian melanjutkan proses otentikasi dari mesin yang mereka kendalikan dan segera meminta kode otentikasi multi-faktor (MFA). Mereka kemudian menyamar sebagai anggota tim keamanan Uber di Slack, meyakinkan kontraktor untuk menerima pemberitahuan push MFA di telepon mereka.
3. Serangan meja layanan#
Penyerang menipu layanan bantuan agar melewati MFA dengan berpura-pura lupa kata sandi dan mendapatkan akses melalui panggilan telepon. Jika agen meja layanan gagal menerapkan prosedur verifikasi yang tepat, mereka mungkin secara tidak sadar memberikan peretas titik masuk awal ke lingkungan organisasi mereka. Contoh terbaru adalah serangan MGM Resorts , di mana kelompok peretas Scattered Spider dengan curang menghubungi meja layanan untuk mengatur ulang kata sandi, memberi mereka pijakan untuk masuk dan meluncurkan serangan ransomware.
Peretas juga mencoba mengeksploitasi pengaturan pemulihan dan prosedur pencadangan dengan memanipulasi meja layanan untuk menghindari MFA. 0ktapus diketahui sering menargetkan meja layanan organisasi jika pemboman cepat MFA mereka terbukti tidak berhasil. Mereka akan menghubungi meja layanan dan mengklaim ponsel mereka tidak dapat dioperasikan atau hilang, lalu meminta untuk mendaftar di perangkat autentikasi MFA baru yang dikendalikan penyerang. Mereka kemudian dapat mengeksploitasi proses pemulihan atau pencadangan organisasi dengan mengirimkan tautan pengaturan ulang kata sandi ke perangkat yang disusupi. Khawatir dengan celah keamanan meja layanan? Pelajari cara mengamankan milik Anda .
4. Pertukaran SIM#
Penjahat dunia maya memahami bahwa MFA sering kali mengandalkan ponsel sebagai alat autentikasi. Mereka dapat mengeksploitasi hal ini dengan teknik yang disebut ‘SIM swap’, di mana peretas menipu penyedia layanan agar mentransfer layanan target ke kartu SIM yang mereka kendalikan. Mereka kemudian dapat secara efektif mengambil alih layanan seluler dan nomor telepon target, membiarkan mereka mencegat permintaan MFA dan mendapatkan akses tidak sah ke akun.
Setelah insiden pada tahun 2022, Microsoft menerbitkan laporan yang merinci taktik yang digunakan oleh kelompok ancaman LAPSUS$ . Laporan tersebut menjelaskan bagaimana LAPSUS$ mendedikasikan kampanye rekayasa sosial yang ekstensif untuk mendapatkan pijakan awal di organisasi sasaran. Salah satu teknik favorit mereka adalah menargetkan pengguna dengan serangan pertukaran SIM, bersamaan dengan pengeboman cepat MFA, dan menyetel ulang kredensial target melalui rekayasa sosial pusat bantuan.
Anda tidak dapat sepenuhnya mengandalkan MFA – keamanan kata sandi tetap penting#
Ini bukanlah daftar eksklusif cara untuk melewati MFA. Ada beberapa cara lain juga , termasuk mengkompromikan titik akhir, mengekspor token yang dihasilkan, mengeksploitasi SSO, dan menemukan kekurangan teknis yang belum ditambal. Jelas bahwa menyiapkan MFA tidak berarti organisasi bisa melupakan pengamanan kata sandi sama sekali.
Penyusupan akun sering kali dimulai dengan kata sandi yang lemah atau disusupi. Setelah penyerang mendapatkan kata sandi yang valid, mereka kemudian dapat mengalihkan fokusnya untuk melewati mekanisme MFA. Bahkan kata sandi yang kuat pun tidak dapat melindungi pengguna jika kata sandi tersebut telah disusupi melalui pelanggaran atau penggunaan kembali kata sandi . Dan bagi sebagian besar organisasi, sepenuhnya tanpa kata sandi bukanlah pilihan praktis.
Dengan alat seperti Kebijakan Kata Sandi Specops , Anda dapat menerapkan kebijakan kata sandi Direktori Aktif yang kuat untuk menghilangkan kata sandi yang lemah dan terus memindai kata sandi yang disusupi akibat pelanggaran, penggunaan kembali kata sandi, atau dijual setelah serangan phishing. Hal ini memastikan bahwa MFA berfungsi sebagai lapisan keamanan tambahan sebagaimana dimaksud, bukan hanya sekedar diandalkan sebagai solusi jitu. Jika Anda tertarik untuk mempelajari bagaimana Kebijakan Kata Sandi Specops dapat disesuaikan dengan kebutuhan spesifik organisasi Anda, silakan hubungi kami .