Az elmúlt hónapokban többek közt a 16 éves fiatalkorú által vezetett Lapsus csoport is rengeteg nagynevű multicégtől képes volt üzleti titkokat kilopni, igazi hackelés helyett adathalászattal, dolgozók megtévesztésével, továbbá potenciálisan vesztegetéssel jutott be a vállalatok rendszereibe. Az első kettő esetében jogos a kérdés, hogy ha sikerült is valahogy kiszedni a dolgozókból a felhasználói neveiket és a jelszavaikat, akkor az elmúlt években sztárolt kétlépcsős hitelesítés miért nem állította meg támadókat, pont ilyen esetekre lett kitalálva végső védelmi vonalnak.
A Mandiant biztonsági cég szerint a megoldás kulcsát sok esetben a kétlépcsős hitelesítés módja jelenti, SMS-ben kapott vagy mobilappal generált kód beírása helyett a vállalatok dolgozói kényelmi okból automatizált telefonhívások fogadásával, vagy mobilalkalmazás által feldobott felületen hagyhatják jóvá a belépést. Az utóbbival sokan találkozhattak már, a Google-fiókokban is ez a preferált azonosítási módszer.
A megoldás gyenge pontját a Lapsus mellett többek közt az orosz állami kötődésű Cozy Bear csoport is bizonyítottan kihasználja: addig csörgetik és pittyegtetik a belépési kísérletekkel a dolgozók mobiljait, amíg azoknál el nem szakad a cérna, és kínjukban jóvá nem hagyják a támadó belépését.
A biztonsági szakma által „MFA bombing" névre keresztelt támadás egyes esetekben aránylag diszkrét módon történik, naponta csak egy-két alkalommal idegesítik a dolgozókat a támadók, más esetekben viszont folyamatos a zaklatás.
Az érthetetlen belépési kérelmeket soha nem szabad jóváhagyni, gyanús jelenségek tapasztalása esetén a dolgozóknak fel kell venniük a kapcsolatot egy illetékessel.
Sajnos a multicégeknél gyakran nem világos a munkavállalók számára, hogy egyáltalán kihez kellene fordulniuk, plusz lassú és keserves ügyintézésre számíthatnak, így „csak nem lesz belőle baj, biztos valami műszaki hiba" alapon nagy lehet a kísértés az engedély megadására.
Automatizált rendszerrel természetesen szűrhető az MFA bombing, főleg az agresszív fajtája, de a jelek szerint számos kétlépcsős hitelesítési szolgáltatást nyújtó vállalat nem készült még fel a kezelésére, pedig annyira nem újdonság, a biztonsági szakmán belül már két éve felfigyeltek a jelenségre.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!