پیکربندی نادرست امنیت سایبری: پیکربندی نادرست MFA

0
108
پیکربندی نادرست امنیت سایبری: : پیکربندی نادرست MFA
آژانس امنیت ملی (NSA) و آژانس امنیت سایبری و امنیت زیرساخت (CISA) یک توصیه مشترک امنیت سایبری (CSA) در مورد رایج‌ترین پیکربندی‌های نادرست امنیت سایبری منتشر کرده‌اند که شامل ۱۰ مورد است. در این مقاله از وب‌سایت امنیت کنش‌تک به « پیکربندی نادرست MFA » میپردازیم.

پیکربندی نادرست امنیت سایبری: پیکربندی نادرست MFA

۱- پیکربندی نادرست کارت‌های هوشمند یا توکن‌ها

برخی از شبکه‌ها (به طور کلی شبکه‌های دولتی یا وزارت دفاع) برای استفاده از کارت‌های هوشمند یا توکن‌ها به حساب‌ها نیاز دارند. ملزومات روش‌های احراز هویت چند عاملی یا به اختصار MFA اگر به اشتباه پیکربندی شود، هش‌های رمز عبور برای حساب‌ها هرگز تغییر نمی‌کند. حتی با وجود اینکه خود رمز عبور دیگر استفاده نمی‌شود – زیرا به جای آن کارت هوشمند یا توکن مورد نیاز است – هنوز یک رمزعبور برای حساب کاربری وجود دارد که می تواند به عنوان یک اعتبار جایگزین برای احراز هویت استفاده شود. اگر هش رمز عبور هرگز تغییر نکند، زمانی که یک عامل مخرب هش رمز عبور حساب را داشته باشد، می تواند تا زمانی که آن حساب وجود دارد، از طریق تکنیک PtH به طور نامحدود از آن استفاده کند.

۲- عدم وجود MFA مقاوم در برابر فیشینگ

برخی از روش‌های MFA در برابر فیشینگ، “بمب push” – بهره برداری از آسیب‌پذیری های پروتکلSignaling System 7 (SS7) و/یا تکنیک های “تعویض سیم کارت” آسیب پذیر هستند. این تلاش‌ها، در صورت موفقیت آمیز بودن، ممکن است به یک عامل تهدید اجازه دسترسی به اعتبارنامه احراز هویت MFA یا دور زدن MFA و دسترسی به سیستم‌های محافظت شده توسط MFA را بدهد.

به عنوان مثال، تیم‌های ارزیابی از فیشینگ صوتی برای متقاعد کردن کاربران برای ارائه اطلاعات MFA استفاده کردند. در یک نمونه، یک تیم ارزیابی اعتبارنامه اصلی کاربر را می‌دانست(نام کاربری و رمزعبور)، اما تلاش‌های آنها برای ورود به سیستم توسط الزامات MFA مسدود شد. سپس تیم به عنوان کارکنان فناوری اطلاعات با کاربر تماس گرفتند و او را متقاعد کردند که کد MFA را از طریق تلفن ارائه کند. سپس تیم ارزیابی توانست با موفقیت وارد سیستم شود و به ایمیل کاربر و سایر منابع سازمانی تحت کنترل کاربر دسترسی پیدا کند.

 

 تهدیدات سایبری برای احراز هویت چند عامله کدام‌ها هستند:

  • فیشینگ: فیشینگ نوعی مهندسی اجتماعی است که در آن عوامل تهدید سایبری از ایمیل، تماس صوتی، SMS یا وب سایت‌های مخرب برای درخواست اطلاعات استفاده می‌کنند. به عنوان مثال، در یک تکنیک فیشینگ که به طور گسترده مورد استفاده قرار می‌گیرد، یک عامل تهدید ایمیلی را به هدفی ارسال می‌کند که کاربر را متقاعد می‌کند تا از یک وب‌سایت تحت کنترل عامل تهدید بازدید کند; این وب‌سایت دقیقا شبیه صفحه ورود وب‌سایت هدف طراحی می‌شود تا کاربر را فریب دهند و وارد حساب کاربری‌ش شود. کاربر نام کاربری، رمز عبور و همچنین کد ۶ رقمی خود را از برنامه احراز هویت تلفن همراه یا پیام کوتاه دریافت کرده است را وارد می‌کند و همین کافی‌ست که عامل خرابکار وارد حساب کاربری شود.
  • push fatigue یا Push bombing:  عوامل تهدید سایبری، کاربر را تا زمانی که دکمه «پذیرفتن» را فشار دهند، با اعلان‌های push بمباران می‌کنند و در نتیجه به عامل تهدید اجازه دسترسی به شبکه را می‌دهند.
  • بهره برداری از آسیب پذیری‌های پروتکل SS7: عوامل تهدید سایبری از آسیب‌پذیری‌های پروتکل SS7 در زیرساخت‌های ارتباطی برای دریافت کدهای MFA که از طریق پیام متنی (SMS) یا صوتی به تلفن ارسال می‌شوند، سوء استفاده می‌کنند.
  • تعویض سیم کارت :  SIM Swap شکلی از مهندسی اجتماعی است که در آن عوامل تهدید سایبری، اپراتورهای تلفن همراه را متقاعد می‌کنند تا کنترل شماره تلفن کاربر را به یک سیم‌کارت کنترل‌شده توسط عامل تهدید منتقل کنند، که به عامل تهدید اجازه می‌دهد تا کنترل تلفن کاربر را به دست آورد.

منبع: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a

مقاله قبلیپیکربندی نادرست امنیت سایبری: اعتبارنامه‌‌های ضعیف
مقاله بعدیاینفوگرافیک نکته‌های امنیت آنلاین

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.