Masih menggunakan autentikator untuk MFA? Perangkat lunak yang dijual dapat meretas Anda

Microsoft pada hari Selasa memprofilkan perangkat lunak untuk dijual di discussion board on-line yang memudahkan penjahat untuk menyebarkan kampanye phishing yang berhasil menyusupi akun, bahkan ketika mereka dilindungi oleh bentuk autentikasi multi-faktor yang paling umum.

Package phishing adalah mesin yang menggerakkan lebih dari 1 juta e-mail jahat setiap hari, kata para peneliti dengan tim Intelijen Ancaman Microsoft. Perangkat lunak, yang dijual seharga $300 untuk versi standar dan $1.000 untuk pengguna VIP, menawarkan berbagai fitur lanjutan untuk merampingkan penerapan kampanye phishing dan meningkatkan peluang mereka melewati pertahanan anti-phishing.

Salah satu fitur yang paling menonjol adalah kemampuan bawaan untuk mem-bypass beberapa bentuk autentikasi multi-faktor. Juga dikenal sebagai MFA, autentikasi dua faktor, atau 2FA, perlindungan ini mengharuskan pemegang akun untuk membuktikan identitas mereka tidak hanya dengan kata sandi, tetapi juga dengan menggunakan sesuatu yang hanya mereka miliki (seperti kunci keamanan atau aplikasi autentikator) atau sesuatu yang hanya milik mereka. (seperti sidik jari atau pemindaian wajah). MFA telah menjadi pertahanan utama terhadap pengambilalihan akun karena pencurian kata sandi saja tidak cukup bagi penyerang untuk mendapatkan kendali.

Tumit Achilles MFA: TOTPs

Efektivitas MFA tidak luput dari perhatian para phisher. Beberapa kampanye yang terungkap dalam beberapa bulan terakhir telah menggarisbawahi kerentanan sistem MFA yang menggunakan TOTP, kependekan dari kata sandi satu kali berbasis waktu, yang dihasilkan oleh aplikasi autentikator. Satu kampanye yang ditemukan oleh Microsoft menargetkan lebih dari 10.000 organisasi selama rentang waktu 10 bulan. Yang lainnya berhasil menembus jaringan perusahaan keamanan Twilio. Seperti equipment phishing yang dirinci Microsoft pada hari Selasa, dua kampanye di atas menggunakan teknik yang dikenal sebagai AitM, kependekan dari musuh di tengah. Ini bekerja dengan menempatkan situs phishing di antara pengguna yang ditargetkan dan situs yang pengguna coba masuki. Saat pengguna memasukkan kata sandi ke situs palsu, situs palsu tersebut menyampaikannya ke situs nyata secara actual time. Jika situs asli merespons dengan immediate TOTP, situs palsu menerima immediate dan meneruskannya kembali ke goal, juga dalam waktu nyata. Saat goal memasukkan TOTP ke situs palsu, situs palsu mengirimkannya ke situs asli.

Untuk memastikan TOTP dimasukkan dalam batas waktu (biasanya sekitar 30 detik), phisher menggunakan bot berbasis Telegram atau messenger real-time lainnya yang secara otomatis memasukkan kredensial dengan cepat. Setelah proses selesai, situs asli mengirimkan cookie otentikasi ke situs palsu. Dengan itu, para phisher memiliki semua yang mereka butuhkan untuk mengambil alih akun tersebut.

Mei lalu, grup kejahatan yang dilacak Microsoft sebagai DEV-1101 mulai mengiklankan equipment phishing yang mengalahkan tidak hanya MFA berdasarkan kata sandi satu kali tetapi juga pertahanan otomatis lainnya yang digunakan secara luas. Satu fitur memasukkan CAPTCHA ke dalam proses untuk memastikan browser yang dioperasikan manusia dapat mengakses halaman phishing akhir tetapi pertahanan otomatis tidak bisa. Fitur lain secara singkat mengalihkan browser goal dari tautan awal yang disertakan dalam e-mail phishing ke situs jinak sebelum tiba di situs phishing. Pengalihan membantu mengalahkan daftar blokir dari URL berbahaya yang diketahui.

Iklan yang mulai muncul Mei lalu menggambarkan equipment tersebut sebagai aplikasi phishing yang ditulis dalam NodeJS yang menawarkan kemampuan reverse-proxy PHP untuk melewati MFA dan CAPTCHA dan pengalihan untuk melewati pertahanan lainnya. Iklan mempromosikan kemampuan lain, seperti penyiapan otomatis dan berbagai templat pra-instal untuk meniru layanan seperti Microsoft Workplace atau Outlook.

“Atribut ini membuat equipment ini menarik bagi banyak pelaku berbeda yang terus menggunakannya sejak tersedia pada Mei 2022,” tulis peneliti Microsoft. “Aktor yang menggunakan equipment ini memiliki motivasi dan penargetan yang bervariasi dan mungkin menargetkan industri atau sektor apa pun.”

Posting tersebut melanjutkan dengan daftar beberapa tindakan yang dapat digunakan pelanggan untuk melawan kemampuan penghindaran equipment, termasuk Home windows Defender dan solusi anti-phishing. Sayangnya, postingan tersebut mengabaikan ukuran yang paling efektif, yaitu MFA berdasarkan standar industri yang dikenal sebagai FIDO2. Sejauh ini, tidak ada serangan phishing kredensial yang mengalahkan FIDO2, menjadikannya salah satu penghalang paling efektif untuk pengambilalihan akun.

Untuk informasi lebih lanjut tentang MFA yang mematuhi FIDO2, lihat liputan sebelumnya di sini, di sini, dan di sini.

Serangan phishing yang menembus jaringan Twilio berhasil karena salah satu karyawan yang ditargetkan memasukkan TOTP yang dibuat oleh autentikator ke situs login palsu penyerang. Kampanye yang sama gagal terhadap jaringan pengiriman konten Cloudflare karena perusahaan menggunakan MFA berbasis FIDO2.