A támadók új trükkje: MFA-visszaállítás és tokenlopás
Az elmúlt évben a legaktívabb, pénzügyi szektort támadó csoportok valójában ritkán próbálkoztak klasszikus jelszólopással. Ehelyett egyszerűen felhívták a cégek IT-ügyfélszolgálatát, elhitették, hogy jogosult dolgozók, és visszaállíttatták az MFA-t. Ezután a saját eszközüket regisztrálták a vállalati rendszerbe – gond nélkül átverve minden biztonsági ellenőrzést.
A CrowdStrike adatai szerint a “Mutant Spider” nevű csoport uralja e területet, főleg a Microsoft Teamsen keresztüli hangalapú adathalászattal. Ezt követően saját fejlesztésű támadóprogramokat telepítenek, és a hozzáféréseket gyakran adják-veszik a zsarolóprogram-csoportok között.
Kali365: előfizetéses tokenlopási szolgáltatás
Bár a klasszikus adathalászat csökkenni látszik (a sikeres támadások csupán 13%-ánál játszik szerepet a jelszólopás), új előfizetéses csalási platformok, mint például a Kali365, valóságos iparággá váltak. Már havi 90 ezer forintért bárki bérelheti ezt a Telegramon terjedő szolgáltatást, amely a Microsoft 365 hitelesítési folyamatának részeként OAuth-tokeneket lop el a legális eszközazonosító kód használatával.
Ebben az esetben a multifaktoros hitelesítés a felhasználói eszközön aktiválódik, ám a jogosultságot adó token már azonnal átkerül a támadóhoz. Ezután a csaló korlátlanul hozzáférhet az Outlookhoz, a Teamshez vagy éppen a OneDrive-hoz, anélkül, hogy újabb MFA-ellenőrzés lépne életbe.
Miért működik ilyen jól a támadók módszere?
A helyzetet súlyosbítja, hogy a legtöbb nagyvállalatnál a belső azonosítási folyamatokat és eszközhozzáférést nem auditálják rendszeresen. Ráadásul az eszközkódos hitelesítés – amit főként okostévékhez és konferenciaeszközökhöz fejlesztettek ki – alapértelmezetten szinte minden szervezetnél működik, és gyakran senki nem vizsgálja, szükség van-e rá egyáltalán.
Közben az e-bűnözők soha nem látott tempóban terjeszkednek. Csak tavaly 27%-kal nőtt az áldozatul esett pénzügyi szolgáltatók száma. Az adathalászat automatizált, előre elkészített sablonokat, akár magyar nyelvű, manipulált, MI‑generált szövegeket használ, ezzel még nehezebbé téve a támadások felismerését.
Állami szintű támadók: gyorsabbak, mint a védelem
A támadások nemcsak az e-bűnözők, hanem állami hátterű hackercsoportok oldaláról is fokozódtak: a Koreai Népi Demokratikus Köztársasághoz köthető csoportok több mint 1,7 trillió forintnyi, főleg kriptovalutában lévő vagyont loptak tavaly, kínai hálózatok pedig fejlett VPN- és tűzfal-sebezhetőségeket kihasználva jutottak be nagybankok, pénzintézetek rendszerébe Délkelet-Ázsiától Brazíliáig. Ezekben a támadásokban is közös, hogy minden esetben az első lépés a hozzáférési adatok, illetve az azokat biztosító jogosultsági útvonal megszerzése.
Mi lenne a védekezés kulcsa?
A szakértők szerint az MFA önmagában ma már kevés. A támadók egyszerűen kijátsszák egy telefonhívással vagy egy zseniális adathalászplatformmal. A szervezetek többsége az MFA-t még mindig a jelszólopás elleni elsődleges védelemnek tekinti, noha a mostani támadások fókusza már nem a klasszikus hitelesítőadat-lopás, hanem a tokenek megszerzése, az azonosítási folyamat átkonfigurálása vagy épp a felhasználói felügyelet kijátszása.
A legegyszerűbb védelmi lépések közé tartozhat az MFA-visszaállítások külön kommunikációs csatornán történő megerősítése, FIDO2-hardverkulcsok használata, vagy a hozzáférési tokenek életidejének rövidítése és rendszeres auditja. Emellett fontos a SaaS-szolgáltatások API-használatának figyelése, a szokatlan tokenhasználat jelzése, és nem utolsósorban a költségvetési súlypont áthelyezése: nem újabb MFA-rétegekre, hanem valódi, futásidejű azonosítás-ellenőrzésre, tokenmonitoringra és gyors hibakezelésre kellene költeni.
Gyorsabb támadók, nehezebb patchelés
A jelenlegi trendek mellett a szervezeteknek rá kell gyorsítaniuk a sérülékenységek javítására is. A támadók már átlagosan 3 nap alatt visszafejtik a kiadott hibajavításokat, így ha valaki nem frissít időben, szinte biztosan támadás áldozata lehet.
Összegzés: nem még több MFA, hanem okosabb védelem kell
A védelem már nem lehet kizárólag sebezhetőségjavítás vagy klasszikus MFA-bővítés. Az igazi kihívás az, hogy a kibervédelemnek tartania kell a lépést azokkal a támadókkal, akik nem jelszavakat lopnak, hanem az identitáskezelés, a tokenek és az ügyfélszolgálatok gyenge pontjait használják ki. A hatékony védekezés a teljes azonosítási lánc újragondolását és a valós idejű, folyamatalapú eszközökre történő beruházást igényli.
