Разбираемся с угрозами «Противника в середине»

В кибербезопасности защитники часто становятся жертвами собственного успеха. Когда достаточное количество организаций adopts успешное решение, угрозы адаптируются. Долгое время многофакторная аутентификация (MFA) считалась одним из лучших средств защиты от атак на основе паролей. Это по-прежнему верно сегодня. Однако резкий рост атак межсредника (AiTM) означает, что MFA может больше не быть достаточным. Наш ежегодный Отчет об угрозах показал значительное увеличение AiTM-атак.

Вы можете воспринять это как положительный шаг, вызванный более широким использованием MFA. Однако еще одним фактором роста являются удобство и доступность необходимого программного обеспечения.

Что такое AiTM?

AiTM-атаки — это сложный метод перехвата и потенциального изменения коммуникаций между двумя сторонами, осуществляемый без их ведома. Все чаще мы наблюдаем атаки, которые принимают форму AiTM-фишинговых атак. Эти атаки используют электронную почту или мессенджеры для создания условий для перехвата и изменения коммуникаций между пользователем и легитимным сервисом с целью кражи учетных данных и маркеров авторизации.

Мы привыкли видеть традиционные фишинговые атаки, которые обманывают людей визитами на поддельные сайты, где вводимые учетные данные затем угоняются. Однако AiTM-атаки усложняют эти методы, переходя на новый уровень. Противники используют сложные, но простые в использовании фреймворки для создания сервера между атакуемым и реальным сервисом. Внушая жертвам следовать по ссылкам и аутентифицироваться, они могут украсть сессионные маркеры авторизации.

Перед тем как кто-то паникует, это не значит, что нужно отказаться от MFA. Несколько крупных кибератак в 2024 году могли быть предотвращены при наличии MFA, и оно остается важной частью защиты от атак.

Однако важно иметь инструменты, способные противостоять изменяющимся угрозам. Фишингоустойчивая многофакторная аутентификация основана на стандартах FIDO2 и проникает глубже, чем традиционный MFA. Эта технология гарантирует, что маркеры связаны только с тем человеком и компьютером, которые завершили процесс аутентификации, делая AiTM-атаку бесполезной.

Для отдельных лиц сложнее распознать эти атаки из-за пропуска через пользователя оригинального легитимного сервиса. Структура атаки фактически прозрачна. Однако есть стратегии, которые могут помочь сотрудникам оставаться в безопасности.

Стимулируйте их задумываться об исходном взаимодействии: получили ли они электронное письмо, которое требует срочных действий? Если их просят следовать по ссылкам и аутентифицировать себя, они должны задаваться вопросом, является ли контекст нормальным. Если есть какие-либо сомнения, они должны чувствовать уверенность в том, чтобы обратиться к внутренней команде.

Всегда стимулируйте сотрудников быть осторожными и любознательными.

Этот материал был создан как часть канала Expert Insights на TechRadarPro, где мы представляем самых ярких экспертов в области технологий. Показанные здесь взгляды принадлежат автору и не обязательно совпадают с мнением TechRadarPro или Future plc.