top of page

Phishing i ataki MITM – dlaczego tradycyjne MFA nie jest wystarczające ?

Większość naszych działań obecnie przenosi się do sieci, cyberprzestępcy mają coraz szersze pole do działania i coraz więcej możliwości, aby zaatakować nas i pozyskać nasze dane osobowe czy finansowe. Jednym z najpowszechniejszych i najbardziej skutecznych sposobów na osiągnięcie tego celu jest phishing. W połączeniu z atakami typu „man-in-the-middle” phishing staje się jeszcze bardziej niebezpieczny, umożliwiając cyberprzestępcom przechwytywanie naszych informacji, takich jak hasła czy numery kart kredytowych co na końcu może prowadzić do utraty pieniędzy.

Co to jest phishing?

Phishing to atak, którego celem jest wyłudzenie poufnych informacji od użytkowników poprzez podszywanie się pod znaną, zaufaną osobę lub organizację. Cyberprzestępcy wysyłają fałszywe e-maile, SMS-y co w połączeniu z tworzonymi stronami internetowymi, które wyglądają identycznie jak oryginalne strony banków, sklepów internetowych czy serwisów społecznościowych tworzą niekiedy scenariusze ciężkie do rozpoznania. Przestępcy nakłaniają użytkowników do podania swoich loginów, haseł czy numerów kart kredytowych, obiecując im różnego rodzaju korzyści ale również strasząc negatywnymi konsekwencjami.

Atak MITM?

Przeprowadzając atak MITM przestępca znajduje się pomiędzy dwoma komunikującymi się urządzeniami. Podczas ataku ma możliwość przechwycenia a nawet modyfikacji  komunikacji. Takie ataki mają również miejsce w publicznie dostępnych sieciach WIFI, w których to przestępcy są w stanie przechwycić niezaszyfrowane połączenie. Wchodząc na fałszywą stronę tak wszystko co robimy jest pod kontrolą atakującego. Wszelkie wpisywane dane – loginy, hasła, kody OTP są przechwytywane.



Kradzież sesji ciasteczek – krok po kroku

Ciasteczka to małe pliki tekstowe, zapisywane przez przeglądarkę po otwarciu każdej strony internetowej na naszych komputerach, aby zapamiętać nasze ustawienia i sesję logowania. Dzięki temu,  możemy poruszać się po stronie internetowej bez konieczności ponownego logowania się przy każdej podstronie. Cyberprzestępcy chętnie wykorzystują tę możliwość do przejęcia kont.



Jak ataki MiTM obchodzą tradycyjne MFA?

  1. Użytkownik wchodzi na fałszywą stronę: Fałszywe strony są często kopią oryginalnej strony np. banku, przez co nie wzbudzają podejrzliwości.

  2. Użytkownik podaje dane logowania: Nieświadomy użytkownik loguje się na fałszywej stronie. Warto dodać, że dodatkowe zabezpieczenie MFA w postaci SMS czy kodu z aplikacji nie uchroni nas przed tym atakiem.

  3. Cyberprzestępca przechwytuje dane: Po zalogowaniu, przestępca ma już dostęp do naszej sesji.

  4. Kradzież ciasteczka: Teraz wystarczy przekopiować zawartość ciasteczka do swojej przeglądarki i atakujący będzie zalogowany na konto ofiary.



Dlaczego OTP i SMS nie są wystarczające?

Chociaż dwuskładnikowe uwierzytelnianie (2FA) z wykorzystaniem kodów OTP w aplikacjach takich jak MS Authenticator czy Google Authenticator czy kodów SMS wydaje się być dodatkowym silnym zabezpieczeniem, w rzeczywistości ma ono swoje wady.

  • SIM swapping: Obecnie atakujący w prosty sposób mogą wyrobić duplikat karty SIM a to pozwala na przejęcie komunikacji i otrzymywanie kodów autoryzacyjnych SMSem. 

  • Brak weryfikacji domeny: Podczas logowania na fałszywej stronie mechanizm 2FA nie weryfikuje czy domena logowania jest zaufana czy nie.

  • Kradzież ciasteczek: Nawet jeśli użytkownik włączy 2FA w postaci kodu czy SMSa, skradzione ciasteczka mogą pozwolić cyberprzestępcy na ominięcie tego mechanizmu.


Jak nowoczesne MFA – FIDO2 (passkeys) zapobiega phishingowi?

  • Jeśli używamy klucza YubiKey do zabezpieczenia naszego konta, to pomimo, że  użytkownik poda login i hasło, klucz nie pozwoli na zalogowanie się bo adres strony będzie inny, niż ten zapisany na kluczu.

  • W podejściu passwordless sytuacja wygląda podobnie, z tym, że tutaj w ogóle nie używamy haseł, tylko tzw. passkeys. W takiej sytuacji pomijamy zupełnie login i hasło a do logowania wykorzystujemy tylko dane zapisane na kluczu oraz krótki kod PIN do naszego klucza.


Jak w rzeczywistości wygląda atak z przechwyceniem ciasteczka, możecie zobaczyć na tym krótkim filmie:



Comentários


bottom of page