Uusista tietoturvarikollisten keksinnöistä huolimatta monivaiheinen tunnistautuminen MFA on edelleen keskeisessä roolissa kokonaisturvassa, mutta myös muita suojautumistasoja tarvitaan. Lue vinkit blogin lopusta!

Vuonna 2023 nousi esiin Adversary-in-the-Middle (AitM) eli Man-in-the-Middle (MitM) -hyökkäykset, jotka pystyvät kiertämään monivaiheisen tunnistautumisen. Tällaiset hyökkäykset ovat hyökkäyksiä, jossa hyökkääjä keskeyttää kahden osapuolen välisen viestinnän.

AitM-hyökkäys voi tapahtua kahden käyttäjän, kahden laitteen tai käyttäjän ja sovelluksen tai palvelimen välillä. Hyökkääjä asettuu keskustelun keskelle niin, että kaikki viestintä menee heidän kauttaan. Tämän ansiosta hyökkääjä voi kuunnella keskustelua, varastaa arkaluonteisia tietoja ja jopa manipuloida viestintää. AitM-hyökkäykset voivat olla vaikeasti havaittavissa, koska hyökkääjä pystyy keskeyttämään ja manipuloimaan viestintää reaaliajassa.

Microsoft varoitti vuonna 2023 työkalusta, joka auttaa kiertämään monivaiheisen tunnistautumisen

Yksi esimerkki tällaisen hyökkäyksen vaarallisuudesta tuli 2023 keväällä Microsoftin suunnasta (1), kun Microsoft varoitti yleisesti saatavilla olevasta työkalusta. Työkalu mahdollistaa AitM-hyökkäysten tekemisen niin, että sen avulla voi kiertää monivaiheisen tunnistautumisen.

Tällaisessa hyökkäysmenetelmässä käyttäjälle lähetetään linkki, joka johtaa näennäisesti kirjautumissivulle.

• Käyttäjä kirjautuu sivustolle ja saa normaalisti eteensä monivaiheisen tunnistautumisen pyynnön.
• Pyyntö menee normaalisti läpi ja käyttäjä pääsee eteenpäin sivustolle.
• Hyökkääjä kierrättää liikenteen välityspalvelimen kautta (mies välissä) ja vie kirjautumisesta istunnon tunnisteen, joka on kertonut sivustolle, että istunto on oikea ja tunnistettu.
• Istuntotunniste voidaan viedä esimerkiksi toiseen selaimeen ja näin saadaan auki istunto, jonka käyttäjä on juuri avannut.

Koska istunto on jo tunnistettu ja vahvistettu, ei itse tunnusta tarvita haltuun (sekin toki saadaan), mutta näin monivaiheinen tunnistautuminen saadaan kierrettyä.

Tällaisia hyökkäyksiä on näkynyt meidänkin asiakaskunnassamme lähes kuukausittain syksystä 2023 alkaen. Niinpä riski hyökkäyksen kohteeksi joutumiselle on jo ihan todellinen.

Ciscon esimerkkitapauksessa monivaiheinen tunnistautuminen kierrettiin perinteisemmällä huijauksella

Toinen tapa kiertää monivaiheinen tunnistautuminen oli julkisuudessa 2022 syksyllä, kun Cisco julkaisi omasta tietomurrostaan tarkan tutkimuksen (2). Tässä käyttäjän tunnukset vietiin, kun käyttäjä oli tallentanut Google Chrome – selaimeen omat tunnuksensa. Chromessa oli käyttäjän oma Gmail-tunnus sisällä ja Chrome oletuksena synkronoi salasanat tuolle tilille.

Käyttäjän oma Gmail-tunnus murrettiin, ja sen avulla hyökkääjä sai Cisco-tunnuksen hallintaansa. Monivaiheinen tunnistautuminen kierrettiin soittamalla käyttäjälle ja esiintymällä IT-tukena. Käyttäjää pyydettiin hyväksymään kirjautuminen osana testausta.

Kolmas tapa kiertää monivaiheista tunnistusta on väsyttää käyttäjää pyynnöillä, tai tehdä niitä satunnaisesti. Eli kun käyttäjätunnus ja salasana on saatu haltuun kalastelemalla tai tietomurron kautta, kirjaudutaan satunnaisesti tai monta kertaa peräkkäin. Kyllä käyttäjä jossain kohden painaa “vahvista”

Onko monivaiheisen tunnistautumisen tehokkuus uhattuna?

No ei tietenkään, yrityksillä on useita keinoja tämän tyylisen tietoturvarikollisuuden ehkäisemiseksi:

• Ensimmäinen tärkeä keino tässä, kuten monessa muussakin, on käyttäjien kouluttaminen ja saattaminen tietoiseksi asioista. Koulutuksen on syytä olla säännöllistä ja jatkuvaa, esimerkiksi mikrokursseihin perustuvaa koulutusta, johon sisältyy myös jatkuva testaaminen
• Sähköpostin suojauksen pitää olla kunnossa, jolloin saastuneita linkkejä ei saada käyttäjälle asti niin helposti.
• Koska sähköposti on vain yksi väline linkkien toimittamiseen, on hyvä lisätä kerroksellisuutta esimerkiksi DNS-suodatuksella, jolloin käyttäjiä ei päästetä haitalliselle sivustolle, vaikka käyttäjä sinne yrittäisikin mennä
• Tehokkain tapa on vaatia kirjautumisessa normaalin tunnistautumisen lisäksi luotettua laitetta. Esimerkiksi Microsoft-ympäristössä voidaan vaatia, että laitteen pitää olla yrityksen Intune-hallinnassa, ennen kuin käyttäjä päästetään kirjautumaan mihinkään. Tämä tosin edellyttää laitteiden tunnistamista ennalta, mutta on tätä hyökkäystä varten tehokkain suojautumiskeino

Eli tärkeää on monitasoinen suojaus, niin kuin tietoturvassa yleisestikin. Tärkeintä on tiedostaa, että tällaista saattaa tapahtua ja ottaa se mukaan yrityksen riskikartalle. Mitään kovin erikoisia immelmanneja ei mikään noista keinoista ole, kaikki ovat täysin normaalin yrityksen tavoitettavissa.

Lähteet:

(1) https://thehackernews.com/2023/03/microsoft-warns-of-large-scale-use-of.html?m=1
(2) https://blog.talosintelligence.com/recent-cyber-attack/