Dalam hal keamanan akses, ada satu rekomendasi yang menonjol dibandingkan rekomendasi lainnya: autentikasi multi-faktor (MFA). Namun belakangan, muncul di dunia maya taktik social engineering bypass MFA yang bisa menjadi bahaya baru.
Kata sandi saja merupakan pekerjaan mudah bagi peretas, MFA memberikan lapisan perlindungan penting terhadap pelanggaran. Namun, penting untuk diingat bahwa MFA bukanlah solusi yang mudah. Hal ini dapat dilewati, dan sering kali demikian.
Jika kata sandi dibobol, ada beberapa opsi yang tersedia bagi peretas yang ingin menghindari perlindungan tambahan MFA. Kali ini kita akan mengeksplorasi empat taktik social engineering bypass MFA dan menekankan pentingnya memiliki kata sandi yang kuat sebagai bagian dari pertahanan berlapis.
Baca juga: Bahaya Kejahatan Social Engineering |
Adversary in the Middle (AITM)
Serangan AITM melibatkan penipuan pengguna agar percaya bahwa mereka masuk ke jaringan, aplikasi, atau situs web asli. Tapi sungguh, mereka memberikan informasi mereka kepada orang yang mirip dan palsu. Hal ini memungkinkan peretas mencegat kata sandi dan memanipulasi tindakan keamanan, termasuk perintah MFA.
Misalnya, email spear-phishing mungkin masuk ke kotak masuk karyawan, menyamar sebagai sumber tepercaya. Mengklik tautan yang tertanam mengarahkan mereka ke situs web palsu tempat peretas mengumpulkan kredensial login mereka.
Meskipun MFA idealnya mencegah serangan ini dengan memerlukan faktor autentikasi tambahan, peretas dapat menggunakan teknik yang dikenal sebagai ‘2FA pass-on’. Setelah korban memasukkan kredensial mereka di situs palsu, penyerang segera memasukkan rincian yang sama di situs yang sah. Hal ini memicu permintaan MFA yang sah, yang diantisipasi dan disetujui oleh korban, tanpa disadari memberikan akses penuh kepada penyerang.
Ini adalah taktik umum yang dilakukan kelompok ancaman seperti Storm-1167, yang dikenal membuat halaman autentikasi Microsoft palsu untuk mengambil kredensial. Mereka juga membuat halaman phishing kedua yang meniru langkah MFA pada proses login Microsoft, meminta korban untuk memasukkan kode MFA mereka dan memberikan akses kepada penyerang. Dari sana, mereka mendapatkan akses ke akun email yang sah dan dapat menggunakannya sebagai platform untuk serangan phishing multi-tahap.
Baca juga: Taktik Manipulasi Email |
MFA Primpt Bombing
Taktik ini memanfaatkan fitur pemberitahuan push di aplikasi autentikasi modern. Setelah membobol kata sandi, penyerang mencoba masuk yang mengirimkan perintah MFA ke perangkat pengguna yang sah.
Mereka bergantung pada pengguna yang salah mengira itu sebagai perintah asli dan menerimanya atau menjadi frustrasi dengan perintah yang terus-menerus dan menerima perintah untuk menghentikan notifikasi. Teknik ini, yang dikenal sebagai pengeboman cepat MFA, mempunyai ancaman yang signifikan.
Dalam sebuah insiden penting, peretas dari grup 0ktapus membobol kredensial login kontraktor Uber melalui SMS phishing, kemudian melanjutkan proses otentikasi dari mesin yang mereka kendalikan dan segera meminta kode otentikasi multi-faktor (MFA). Mereka kemudian menyamar sebagai anggota tim keamanan Uber di Slack, meyakinkan kontraktor untuk menerima pemberitahuan push MFA di telepon mereka.
Serangan Service Desk
Penyerang menipu layanan bantuan agar melewati MFA dengan berpura-pura lupa kata sandi dan mendapatkan akses melalui panggilan telepon.
Jika agen meja layanan gagal menerapkan prosedur verifikasi yang tepat, mereka mungkin secara tidak sadar memberikan peretas titik masuk awal ke lingkungan organisasi mereka.
Contoh terbaru adalah serangan MGM Resorts, di mana kelompok peretas Scattered Spider dengan curang menghubungi meja layanan untuk mengatur ulang kata sandi, sehingga memberi mereka pijakan untuk masuk dan meluncurkan serangan ransomware.
Peretas juga mencoba mengeksploitasi pengaturan pemulihan dan prosedur pencadangan dengan memanipulasi meja layanan untuk menghindari MFA. 0ktapus diketahui sering menargetkan meja layanan organisasi jika pemboman cepat MFA mereka terbukti tidak berhasil.
Mereka akan menghubungi meja layanan dan mengklaim ponsel mereka tidak dapat dioperasikan atau hilang, lalu meminta untuk mendaftar di perangkat autentikasi MFA baru yang dikendalikan penyerang.
Mereka kemudian dapat mengeksploitasi proses pemulihan atau pencadangan organisasi dengan mengirimkan tautan pengaturan ulang kata sandi ke perangkat yang disusupi. Khawatir dengan celah keamanan meja layanan? Pelajari cara mengamankan milik Anda.
Baca juga: Strategi Pencadangan Data Perusahaan |
Swim Swapping
Penjahat dunia maya memahami bahwa MFA sering kali mengandalkan ponsel sebagai alat autentikasi. Mereka dapat mengeksploitasi hal ini dengan teknik yang disebut ‘SIM swap’, di mana peretas menipu penyedia layanan agar mentransfer layanan target ke kartu SIM yang mereka kendalikan.
Mereka kemudian dapat secara efektif mengambil alih layanan seluler dan nomor telepon target, membiarkan mereka mencegat perintah MFA dan mendapatkan akses tidak sah ke akun.
Setelah insiden pada tahun 2022, Microsoft menerbitkan laporan yang merinci taktik yang digunakan oleh kelompok ancaman LAPSUS$. Laporan tersebut menjelaskan bagaimana LAPSUS$ mendedikasikan kampanye rekayasa sosial yang ekstensif untuk mendapatkan pijakan awal di organisasi sasaran.
Salah satu teknik favorit mereka adalah menargetkan pengguna dengan serangan pertukaran SIM, bersamaan dengan pengeboman cepat MFA, dan menyetel ulang kredensial target melalui rekayasa sosial pusat bantuan.
Tidak Dapat Sepenuhnya Mengandalkan MFA
Ada beberapa cara lain juga untuk melewati MFA, seperti:
- Termasuk mengkompromikan titik akhir.
- Mengekspor token yang dihasilkan.
- Mengeksploitasi SSO.
- Menemukan kekurangan teknis yang belum ditambal.
Jelas bahwa menyiapkan MFA tidak berarti organisasi bisa melupakan pengamanan kata sandi sama sekali.
Penyusupan akun sering kali dimulai dengan kata sandi yang lemah atau disusupi. Setelah penyerang mendapatkan kata sandi yang valid, mereka kemudian dapat mengalihkan fokusnya untuk melewati mekanisme MFA.
Bahkan kata sandi yang kuat pun tidak dapat melindungi pengguna jika kata sandi tersebut telah disusupi melalui pelanggaran atau penggunaan kembali kata sandi. Dan bagi sebagian besar organisasi, sepenuhnya tanpa kata sandi bukanlah pilihan praktis.
Sumber berita: