banner large

Kampanye phishing yang sedang berlangsung dapat meretas Anda bahkan ketika Anda dilindungi dengan MFA

Comment
X
Share
Kampanye phishing yang sedang berlangsung dapat meretas Anda bahkan ketika Anda dilindungi dengan MFA

Gambar Getty

Pada hari Selasa, Microsoft merinci kampanye phishing skala besar yang sedang berlangsung yang dapat membajak akun pengguna ketika mereka dilindungi dengan langkah-langkah otentikasi multi-faktor yang dirancang untuk mencegah pengambilalihan tersebut. Pelaku ancaman di balik operasi tersebut, yang telah menargetkan 10.000 organisasi sejak September, telah menggunakan akses rahasia mereka ke akun email korban untuk mengelabui karyawan agar mengirimkan uang kepada peretas.

Otentikasi multi-faktor—juga dikenal sebagai autentikasi dua faktor, MFA, atau 2FA—adalah standar emas untuk keamanan akun. Ini mengharuskan pengguna akun untuk membuktikan identitas mereka dalam bentuk sesuatu yang mereka miliki atau kendalikan (kunci keamanan fisik, sidik jari, atau pemindaian wajah atau retina) di samping sesuatu yang mereka ketahui (kata sandi mereka). Karena meningkatnya penggunaan MFA telah menghalangi kampanye pengambilalihan akun, penyerang telah menemukan cara untuk menyerang balik.

Musuh di tengah

Microsoft mengamati kampanye yang menyisipkan situs proxy yang dikendalikan penyerang antara pengguna akun dan server kerja yang mereka coba masuki. Ketika pengguna memasukkan kata sandi ke situs proxy, situs proxy mengirimkannya ke server sebenarnya dan kemudian menyampaikan respons server yang sebenarnya kembali ke pengguna. Setelah otentikasi selesai, aktor ancaman mencuri cookie sesi yang dikirim oleh situs sah, sehingga pengguna tidak perlu diautentikasi ulang di setiap halaman baru yang dikunjungi. Kampanye dimulai dengan email phishing dengan lampiran HTML yang mengarah ke server proxy.

Situs web phishing mencegat proses otentikasi.
Memperbesar / Situs web phishing mencegat proses otentikasi.

“Dari pengamatan kami, setelah akun yang disusupi masuk ke situs phishing untuk pertama kalinya, penyerang menggunakan cookie sesi yang dicuri untuk mengautentikasi ke Outlook online (outlook.office.com),” anggota Tim Riset Pembela Microsoft 365 dan Microsoft Threat Intelligence Center menulis dalam sebuah posting blog. “Dalam beberapa kasus, cookie memiliki klaim MFA, yang berarti bahwa meskipun organisasi memiliki kebijakan MFA, penyerang menggunakan cookie sesi untuk mendapatkan akses atas nama akun yang disusupi.”

Pada hari-hari setelah pencurian cookie, pelaku ancaman mengakses akun email karyawan dan mencari pesan untuk digunakan dalam penipuan kompromi email bisnis, yang menipu target untuk mengirim sejumlah besar uang ke akun yang mereka yakini milik rekan kerja atau mitra bisnis. Penyerang menggunakan utas email tersebut dan identitas palsu karyawan yang diretas untuk meyakinkan pihak lain agar melakukan pembayaran.

Agar karyawan yang diretas tidak menemukan penyusupan, pelaku ancaman membuat aturan kotak masuk yang secara otomatis memindahkan email tertentu ke folder arsip dan menandainya sebagai telah dibaca. Selama beberapa hari berikutnya, pelaku ancaman masuk secara berkala untuk memeriksa email baru.

“Pada satu kesempatan, penyerang melakukan beberapa upaya penipuan secara bersamaan dari kotak surat yang sama,” tulis penulis blog. “Setiap kali penyerang menemukan target penipuan baru, mereka memperbarui aturan Kotak Masuk yang mereka buat untuk menyertakan domain organisasi target baru ini.”

Ikhtisar kampanye phishing dan penipuan BEC lanjutan.<br />” src=”https://cdn.arstechnica.net/wp-content/uploads/2022/07/phishing-bec-overview-640×370.png” width=”640″ height=”370″ srcset=”https://cdn.arstechnica.net/wp-content/uploads/2022/07/phishing-bec-overview.png 2x”/><figcaption class=
Memperbesar / Ikhtisar kampanye phishing dan penipuan BEC lanjutan.

Microsoft

Sangat mudah untuk jatuh untuk penipuan

Posting blog menunjukkan betapa mudahnya bagi karyawan untuk jatuh dalam penipuan semacam itu. Banyaknya email dan beban kerja sering membuat sulit untuk mengetahui kapan sebuah pesan asli. Penggunaan MFA sudah menandakan bahwa pengguna atau organisasi mempraktikkan kebersihan keamanan yang baik. Salah satu dari sedikit elemen yang mencurigakan secara visual dalam penipuan adalah nama domain yang digunakan di halaman arahan situs proxy. Namun, mengingat ketidakjelasan sebagian besar halaman login khusus organisasi, bahkan nama domain yang samar mungkin bukan hadiah mati.

Contoh halaman arahan phishing
Memperbesar / Contoh halaman arahan phishing

Microsoft

Tidak ada dalam akun Microsoft yang harus diambil untuk mengatakan bahwa menyebarkan MFA bukanlah salah satu langkah paling efektif untuk mencegah pengambilalihan akun. Yang mengatakan, tidak semua MFA sama. Kode otentikasi satu kali, bahkan ketika dikirim melalui SMS, jauh lebih baik daripada tidak sama sekali, tetapi kode tersebut tetap dapat dilacak atau dicegat melalui penyalahgunaan protokol SS7 yang lebih eksotis yang digunakan untuk mengirim pesan teks.

Bentuk MFA paling efektif yang tersedia adalah yang sesuai dengan standar yang ditetapkan oleh FIDO Alliance di seluruh industri. Jenis MFA ini menggunakan kunci keamanan fisik yang dapat berupa dongle dari perusahaan seperti Yubico atau Feitian atau bahkan perangkat Android atau iOS. Otentikasi juga dapat berasal dari pemindaian sidik jari atau retina, yang keduanya tidak pernah meninggalkan perangkat pengguna akhir untuk mencegah biometrik dicuri. Kesamaan dari semua MFA yang kompatibel dengan FIDO adalah tidak dapat di-phishing dan menggunakan sistem back-end yang tahan terhadap jenis kampanye yang sedang berlangsung ini.

Leave a Reply

Your email address will not be published. Required fields are marked *