La autenticación multifactor es una defensa importante que los profesionales de seguridad de TI deberían usar como parte de una estrategia de seguridad cibernética, dice Roger Grimes, experto en MFA, con un significativo ‘pero’.
Ese ‘pero’ es que la solución tiene que ser resistente al phishing.
“La mayoría de la gente está usando soluciones MFA fácilmente phishing”, observó en una presentación el miércoles en la conferencia BlackHat en Las Vegas. “Desafortunadamente, alrededor del 90 al 95 por ciento de MFA puede ser phishing y eludido”.
“Me gusta MFA”, dijo Grimes, evangelista de defensa basada en datos de la firma de capacitación en concientización sobre seguridad KnowBe4. “Pero, agregó, TI “debería usar MFA resistente al phishing cuando y donde pueda para proteger datos y sistemas valiosos”.
Por coincidencia, más temprano ese día, Cisco Systems admitió una violación que demostró su punto: el compromiso de la cuenta personal de Google de un empleado de Cisco llevó a un actor de amenazas a ingresar a la VPN de la compañía en mayo. ¿Cómo? El empleado cayó en una estafa de phishing.
Primero, el atacante obtuvo las credenciales de Cisco de la víctima que estaban almacenadas en su navegador. Luego, para eludir la protección de MFA del empleado, el pirata informático envió repetidamente mensajes de MFA falsos al empleado, combinados con llamadas de voz supuestamente de una organización en la que el empleado confiaba, pidiéndole que aceptara una notificación de MFA en su dispositivo móvil. Al final, el empleado cedió.
Después de eso, el atacante inscribió una serie de nuevos dispositivos para MFA en la cuenta del empleado y se autenticó con éxito en la VPN de Cisco. Luego, el atacante aumentó los privilegios administrativos, lo que les permitió iniciar sesión en múltiples sistemas. Eso alertó al equipo de respuesta a incidentes de seguridad de Cisco.
Si bien el atacante pudo moverse a través del entorno de Cisco, la compañía dice que los únicos datos que obtuvieron fueron de una carpeta en la plataforma de almacenamiento en la nube de Box de la cuenta de un empleado comprometido. Cisco dice que los datos no eran confidenciales.
El servicio de noticias Bleeping Computer dice que los datos robados, ahora publicados en la web oscura, incluyen acuerdos de no divulgación, volcados de datos y dibujos de ingeniería.
No quedó claro en el informe de Cisco cómo el atacante comprometió inicialmente la cuenta de Google del empleado.
El informe enfatiza lo que dijo Grimes en su presentación: la educación sobre la seguridad del usuario es una parte clave para contrarrestar las técnicas de elusión de MFA, lo que incluye decirles a los empleados qué hacer y cómo responder si reciben solicitudes de inserción erróneas en sus teléfonos inteligentes.
En el lado de TI, dijo Cisco, las organizaciones deben implementar una fuerte verificación de dispositivos para limitar o bloquear la adición de dispositivos móviles, particularmente dispositivos no administrados, a las cuentas de los empleados. Aprovechar la detección de riesgos para resaltar eventos como un dispositivo nuevo que se usa desde una ubicación poco realista, o patrones de ataque como inicios de sesión de fuerza bruta, puede ayudar a detectar el acceso no autorizado, agregó Cisco.
“Cualquier cosa puede ser pirateada, incluido MFA”, dijo Grimes. “Algunos de ellos son más difíciles que otros”. Pero, agregó, “puedo hackear cualquier solución MFA en al menos cinco formas diferentes”.
MFA está “sobrevendido”, se quejó, “especialmente cuando escucho cosas como ‘MFA detiene el 99 por ciento de los ataques’. no lo hace Nunca lo hará. Todavía es probablemente una de las mejores cosas que puede hacer para proteger su medio ambiente. (Pero) esta no es una solución del Santo Grial”.
Los ataques repetidos basados en push enviados a teléfonos móviles, como el ejemplo de Cisco, se basan en desgastar a una víctima para finalmente hacer clic en la aprobación de una supuesta confirmación de MFA, dijo Grimes. Dio un ejemplo de un ejecutivo que cae repetidamente en la estafa a pesar de haber sido advertido.
Pero dijo que la técnica de ataque de phishing MFA exitosa más común es el secuestro de sesión de red, también conocido como ataque de intermediario. Por lo general, comienza cuando el atacante envía al objetivo un mensaje de correo electrónico supuestamente de una marca conocida (su empleador, su banco, un sitio de redes sociales) diciendo que debido a la actividad irregular de la cuenta, el objetivo debe hacer clic en un enlace y verificar sus credenciales de inicio de sesión. El enlace lleva a un sitio web falso que captura no solo el nombre de usuario y la contraseña de la víctima, sino también cualquier cookie de sesión MFA enviada por el sitio web real. El atacante usa esa cookie para ingresar a la cuenta de la víctima.
El ejemplo más reciente es un informe de Microsoft del 12 de julio sobre una gran campaña de phishing. Microsoft dice que esto no es una vulnerabilidad MFA.
Grimes señaló que, desde 2017, el gobierno de EE. UU. ha advertido a los departamentos gubernamentales que no utilicen MFA por teléfono o SMS para la autenticación.
El uso de la biometría, como el reconocimiento facial y el escaneo de huellas dactilares, no es lo suficientemente fuerte en los dispositivos de los consumidores, sostuvo. Deben complementarse con otro factor de autenticación como una contraseña o un número PIN.
Los líderes de TI y seguridad deben buscar soluciones MFA que tengan una fuerte protección contra el phishing, dijo Grimes, como una solución aprobada por FIDO Alliance. Requerirán el registro previo de sitios y servicios. En algunos casos, puede ser apropiado usar una llave de seguridad como YubiKey o Google Titan, dijo.
KnowBe4 ofrece esta página de consejos de MFA.