عندما يتعلق الأمر بالأمن السيبراني فإن هناك توصية واحدة تشع في كل مكان : المصادقة متعددة العوامل (MFA). نظراً لأن كلمات المرور وحدها لم تعد تشكل عائقاً بوجه مجرمي الانترنت، فإن MFA توفر طبقة إضافية من الحماية ضد الاختراقات. ومع ذلك، من المهم أن نتذكر أن الـ MFA ليست رصاصة فضية و لا تقدم الضمانات التي يراهن عليها الجميع. إنها ببساطة حاجزاً يمكن تجاوزه، وهو ما يحدث في كثير من الأحيان. إذا تم اختراق كلمة المرور، فهناك العديد من الخيارات المتاحة للمتسللين الذين يتطلعون إلى التحايل على الحماية الإضافية لـ MFA. يستعرض روبودين فيما يلي أربعة تكتيكات للهندسة الاجتماعية يستخدمها المتسللون بنجاح لاختراق MFA لكن ذلك لا يعني أننا نقلل من أهمية ضرورة وجود عبارة مرور قوية كجزء من الدفاع متعدد الطبقات.
الخصم في الوسط (AiTM)
قد يحاول المهاجمين وضع أنفسهم بين جهازين أو أكثر متصلين بالشبكة. ذلك باستخدام تقنية الخصم في الوسط (AiTM) للتجسس على الشبكة أو البيانات المنقولة أو استغلال الوصول إلى بيانات الاعتماد. من خلال إساءة استخدام ميزات بروتوكولات الشبكات الشائعة التي يمكنها تحديد تدفق حركة مرور الشبكة (مثل ARP وDNS وLLMNR وما إلى ذلك). قد يجبر المهاجم الجهاز الضحية على الاتصال من خلال نظام يتحكم فيه حتى يتمكن من جمع المعلومات أو تنفيذ إجراءات إضافية. على سبيل المثال، قد يتلاعب الخصوم بنظام أسماء النطاقات (DNS) ويستفيدون من موقعهم من أجل اعتراض بيانات اعتماد المستخدم وملفات تعريف الارتباط الخاصة بالجلسة.
يمكن للخصوم إعداد موقع مشابه لموقع مشروع لمنع تدفق حركة المرور إلى الوجهة المناسبة. يتم خداع المستخدمين للاعتقاد بأنهم يقومون بتسجيل الدخول إلى شبكة أو تطبيق أو موقع ويب حقيقي. لكن في الواقع، إنهم يقدمون معلوماتهم على طبق من فضة إلى موقع شبيه يديره محتالون. يتيح ذلك للمتسللين اعتراض كلمات المرور والتلاعب بالإجراءات الأمنية، بما في ذلك مطالبات MFA. على سبيل المثال، قد تصل رسالة بريد إلكتروني للتصيد الاحتيالي إلى البريد الوارد لأحد الموظفين، متظاهرة بأنها مصدر موثوق به. يؤدي النقر على الرابط المضمن إلى توجيههم إلى موقع ويب مزيف. حيث يقوم المتسللون بجمع بيانات اعتماد تسجيل الدخول الخاصة بهم.
الوقوع في الفخ
بمجرد قيام الضحية بإدخال بيانات اعتماده على الموقع المزيف، يقوم المهاجم على الفور بإدخال نفس التفاصيل على الموقع الشرعي. يؤدي هذا إلى إطلاق طلب MFA مشروع، والذي تتوقعه الضحية ويوافق عليه بسهولة، مما يمنح المهاجم الوصول الكامل عن غير قصد. يعد هذا تكتيكاً شائعاً استخدمته مجموعة من مجرمي الانترنت -مثلاً- لتصميم صفحات مصادقة Microsoft مزيفة للحصول على بيانات الاعتماد. كما يقومون أيضًا بإنشاء صفحة تصيد ثانية تحاكي خطوة MFA في عملية تسجيل الدخول إلى Microsoft، مما يدفع الضحية إلى إدخال رمز MFA الخاص بهم ومنح المهاجمين حق الوصول. ومن هناك، يمكنهم الوصول إلى حساب بريد إلكتروني شرعي ويمكنهم استخدامه كمنصة لهجوم تصيد متعدد المراحل.
MFA prompt bombing – المصادقة متعددة العوامل MFA
يستخدم المهاجمون مصادقة متعددة العوامل، مثل الرسائل القصيرة والبريد الإلكتروني وتطبيقات MFA لإغراق الهدف بالطلبات و إزعاجه لمنح أحد المتسللين حق الوصول إلى حسابهم. يرسل المتسلل طلبات MFA بشكل متكرر إلى الضحية. المطلوب أن يغضب الضحية أو يمل من الإشعارات المتعددة فيوافق على الطلب دون التحقق مما إذا كان من مصدر شرعي. بعد اختراق كلمة المرور، يحاول المهاجمون تسجيل الدخول مما يرسل رسالة MFA إلى جهاز المستخدم الشرعي. إنهم يعتمدون على المستخدم. إما أن يخطئ في أنها مطالبة حقيقية ويقبلها أو يشعر بالإحباط من المطالبات المستمرة ويقبل واحدة منها لإيقاف الإشعارات. تشكل هذه التقنية، تهديداً كبيراً.
في حادثة شهيرة ، قام قراصنة باختراق بيانات اعتماد تسجيل الدخول لمقاول أوبر من خلال التصيد الاحتيالي عبر الرسائل النصية القصيرة. بعدها واصلوا عملية المصادقة من جهاز يتحكمون فيه وطلبوا على الفور رمز المصادقة متعددة العوامل (MFA). ثم قاموا بعد ذلك بانتحال شخصية أحد أعضاء فريق أمان Uber على Slack، لإقناع المقاول بقبول إشعار MFA على هواتفهم.
المصادقة متعددة العوامل MFA – خداع فريق الدعم الفني
يستخدم المتسللون المكالمات الهاتفية لخداع موظفي مكتب الخدمة للكشف عن معلومات حساسة. انتحل المتسللون شخصية أحد موظفي MGM Resorts عبر مكالمة هاتفية وأقنعوا وكيل مكتب الخدمة بمنحهم حق الوصول إلى الحساب. يخدع المهاجمون غريق الدعم الفني لتجاوز MFA عن طريق التظاهر بنسيان كلمة المرور والوصول إليها من خلال المكالمات الهاتفية. إذا فشل ذلك الفريق في فرض إجراءات التحقق المناسبة، فقد يمنحون المتسللين دون قصد نقطة دخول أولية إلى بيئة مؤسستهم مما منحهم موطئ قدم لتسجيل الدخول وشن هجوم برنامج الفدية مثلاً.
يحاول المتسللون أيضًا استغلال إعدادات الاسترداد وإجراءات النسخ الاحتياطي من خلال التلاعب بالدعم الفني للتحايل على MFA عبر الإدعاء أن المتصل موظف فقد جهازه ثم يطلب التسجيل في جهاز مصادقة MFA جديد يتحكم فيه المهاجم. ويمكنه بعد ذلك استغلال عملية الاسترداد أو النسخ الاحتياطي الخاصة بالمؤسسة عن طريق الحصول على رابط إعادة تعيين كلمة المرور المرسل إلى الجهاز المخترق.
تبديل بطاقة SIM
يدرك مجرمو الإنترنت أن أسلوب المصادقة المتعددة (MFA) غالباً ما يعتمد على الهواتف المحمولة كوسيلة للمصادقة. ويمكنهم استغلال ذلك من خلال تقنية تسمى “تبديل بطاقة SIM”، حيث يخدع المتسللون شركات الاتصالات لنقل رقم هاتف الضحية إلى بطاقة SIM تحت سيطرتهم. يمكنهم بعد ذلك الاستيلاء على الخدمة الخلوية ورقم الهاتف الخاص بالهدف، مما يسمح لهم باعتراض طلبات MFA والحصول على وصول غير مصرح به إلى الحسابات.
بالنتيجة، لا يمكن الاعتماد بشكل كامل على MFA. غالباً ما يبدأ اختراق الحساب بكلمات مرور ضعيفة أو مخترقة. بمجرد حصول المهاجم على كلمة مرور صالحة، يمكنه بعد ذلك تحويل تركيزه نحو تجاوز آلية MFA.
