Miért veszélyesebb a tokenlopás a hagyományos jelszavas adathalászatnál?

Az ellopott hitelesítési tokenek lehetővé teszik a támadók számára, hogy a jelszó ismerete nélkül férjenek hozzá fiókokhoz, és megkerülhetik a többtényezős hitelesítés egyes formáit, mivel a munkamenet már hitelesítettnek számít.

Milyen e-maileket használtak a támadók az áldozatok megtévesztésére?

A támadók professzionálisan elkészített, „magatartási kódex" értesítés témájú e-maileket küldtek, amelyeket arra terveztek, hogy rutinszerűnek és tekintélyesnek tűnjenek egy vállalati postaládában.

Megvédhetik-e az erős jelszavak a felhasználókat az ilyen típusú támadásoktól?

Nem, még az erős, egyedi jelszavakkal rendelkező felhasználók is kompromittálódhattak volna, mivel a támadók a munkamenet-tokeket célozták meg, nem közvetlenül a jelszavakat.

A Microsoft leleplezett egy adathalász kampányt, amely 13 000 szervezet 35 000 felhasználóját érintette

Q: Hány felhasználót és szervezetet érintett ez az adathalász kampány?

A kampány több mint 35 000 felhasználó hitelesítési tokenjét kompromittálta 13 000 szervezet körében.

A Microsoft leleplez egy masszív tokenlopásos adathalász műveletet

A Microsoft nyilvánosságra hozott egy nagyszabású adathalász kampányt, amely több mint 35 000 felhasználó hitelesítési tokenjét kompromittálta 13 000 szervezet körében. A támadók hivatalos feladónak álcázták magukat, professzionálisan elkészített, „magatartási kódex" témájú e-maileket használva – ez egy olyan social engineering taktika, amelyet arra terveztek, hogy rutinszerűnek és megbízhatónak tűnjön egy vállalati postaládában. Az egészségügyi, pénzügyi szolgáltatási és technológiai vállalatok viselték a támadások súlyát, ami az utóbbi idők egyik legjelentősebb hitelesítőadat-lopási leleplezésévé teszi ezt az esetet.

Ami ezt a kampányt megkülönbözteti a szokványos adathalászattól, az a fókusz a hitelesítési tokenek ellopására a jelszavak közvetlen megszerzése helyett. A tokenek kis digitális hitelesítő adatok, amelyek igazolják, hogy egy felhasználó már bejelentkezett, és egy token megszerzése teljes hozzáférést adhat a támadónak egy fiókhoz anélkül, hogy valaha is tudnia kellene a jelszót. Ez azt jelenti, hogy még az erős, egyedi jelszavakkal rendelkező felhasználók is kompromittálódhattak volna, ha munkamenet-tokenjeiket elfogták.

Miért különösen veszélyes a hitelesítési tokenek ellopása

A hagyományos adathalászat általában arra próbálja rávenni a felhasználókat, hogy beírják felhasználónevüket és jelszavukat egy hamis bejelentkezési oldalra. A tokenlopás egy lépéssel tovább megy. Ha egy támadó érvényes hitelesítési tokennel rendelkezik, gyakran teljesen megkerülheti a biztonsági ellenőrzéseket, beleértve a többtényezős hitelesítés (MFA) egyes formáit is, amelyek csak a bejelentkezés pillanatában ellenőrzik az identitást. A munkamenet a rendszer szempontjából már hitelesített, így nincs mit újból ellenőrizni.

Ez különösen aggasztó a szabályozott iparágakban, például az egészségügyben és a pénzügyben működő szervezetek számára, ahol érzékeny adatok, ügyfélnyilvántartások és pénzügyi rendszerek állnak ezek mögött a bejelentkezések mögött. Egyetlen ellopott token főkulcsként szolgálhat egy alkalmazott e-mailjéhez, felhőtárhelyéhez, belső eszközeihez és kommunikációs platformjaihoz, ameddig a token érvényes marad.

A csaliemailek professzionális megjelenése még nehezebbé teszi a védekezést emberi szinten. A „magatartási kódex" értesítések tekintélyt és sürgősséget sugároznak – ez a két elem megbízható eszköz a social engineeringben. Az alkalmazottak arra vannak kondicionálva, hogy komolyan vegyék ezeket az üzeneteket, és pontosan ezért választották a támadók ezt a keretet.

Mit jelent ez az Ön számára

Ha egy szervezetnél dolgozik – különösen az egészségügyben, a pénzügyekben vagy a technológiai szektorban –, ez a kampány konkrét emlékeztető arra, hogy az adathalász fenyegetések kifinomultabbá váltak. Egy jól megtervezett e-mailben lévő linkre kattintani és bejelentkezni abba, ami egy legitim portálnak tűnik, munkamenet-tokenét fedheti fel anélkül, hogy észrevenné, mi ment rosszra.

A kockázat csökkentéséhez több védelmi réteg működik együtt:

A többtényezős hitelesítés továbbra is elengedhetetlen. Bár a fejlett tokenlopási technikák megkerülhetik az MFA egyes megvalósításait, a hardveres biztonsági kulcsok és a jelszókulcs-alapú hitelesítés lényegesen nehezebben kerülhető meg, mint az SMS- vagy alkalmazásalapú kódok. A szervezeteknek lehetőség szerint prioritásként kell kezelniük az adathalászat-rezisztens MFA-szabványokat, például a FIDO2-t.

A hálózati szintű védelem további réteget jelent. Egy VPN titkosítja a forgalmat az eszköz és a szélesebb internet között, ami korlátozza a támadó azon képességét, hogy nem megbízható hálózatokon elfogja az adatokat átvitel közben. Ha az alkalmazottak távolról dolgoznak vagy nyilvános Wi-Fi-n csatlakoznak, a titkosítatlan forgalom sebezhető az elfogással szemben. Annak megértése, hogyan kezelik a különböző VPN-protokollok a titkosítást és az alagutat, segíthet a szervezeteknek és az egyéneknek olyan konfigurációkat választani, amelyek valóban megerősítik a kapcsolataikat, nem csupán a biztonság látszatát keltik.

Az e-mailek alapos vizsgálata fontosabb, mint valaha. Még a technikailag kifinomult felhasználóknak is érdemes szünetet tartani, mielőtt váratlan e-mail értesítésekben lévő linkekre kattintanak, különösen azokra, amelyek sürgősséget vagy adminisztrációs tekintélyt hordoznak. A kérések külön csatornán történő megerősítése – az e-mail-linkek helyett közvetlenül a hivatalos portálra navigálva – egy csekély erőfeszítést igénylő szokás, amelynek valódi védelmi értéke van.

A token-élettartamok és munkamenet-kezelés figyelmet érdemelnek. A biztonsági csapatoknak felül kell vizsgálniuk, hogy a hitelesítési tokenek mennyi ideig maradnak érvényesek, és rövidebb munkamenet-ablakokat kell érvényesíteniük az érzékeny alkalmazások esetében. Minél tovább marad aktív egy token, annál tovább használható egy ellopott token.

Következtetések szervezetek és egyének számára

Ez a Microsoft-leleplezés hasznos ösztönző a jelenlegi biztonsági gyakorlatok ellenőrzésére, nem pedig pánikra való ok. Az ilyen léptékű hitelesítőadat-lopási kampányok azért sikeresek, mert kihasználják a tudatosság és a cselekvés közötti réseket. Néhány konkrét lépés, amelyet érdemes most megtenni:

Tekintse át az MFA-beállításokat, és ahol lehetséges, lépjen az adathalászat-rezisztens hitelesítési módszerek felé.
Gondoskodjon arról, hogy a távolról dolgozó alkalmazottak VPN-t használjanak nem megbízható hálózatokon az átvitel közbeni forgalom titkosítása érdekében. Ha nem biztos abban, melyik protokoll illik leginkább a fenyegetési modelljéhez, az egyes protokollok biztonságának és teljesítményének áttekintése praktikus kiindulópontot jelent.
Képezze a munkatársakat a social engineering csalik felismerésére, beleértve a tekintélyalapú e-maileket, például az irányelvértesítéseket és a magatartási kódex emlékeztetőket.
Kérdezze meg az IT- vagy biztonsági csapatokat a munkamenet-token irányelvekről, és arról, hogy a kritikus rendszereknél megvalósíthatók-e rövidebb lejárati időablakok.

Egyetlen vezérlő sem szünteti meg teljesen a kockázatot, de a hitelesítési higiénia, a titkosított hálózati kapcsolatok és a felhasználói tudatosság rétegzése értelmes akadályt teremt a támadók számára. Azok a szervezetek, amelyeket ez a kampány nem érintett, valószínűleg legalább néhány ilyen intézkedést bevezettek. Azok, amelyeket érintett, most tisztán látják, mire kell összpontosítaniuk.

A Microsoft leleplez egy masszív tokenlopásos adathalász műveletet

Miért különösen veszélyes a hitelesítési tokenek ellopása

Mit jelent ez az Ön számára

Következtetések szervezetek és egyének számára

// GYIK

// Kapcsolódó