Tycoon 2FA kimlik avı kitinin yükselişi, her kuruluş için küresel bir uyarı sireni görevi görmelidir. Bu elit bilgisayar korsanlarına yönelik bir araç değildir. Bu, tarayıcısı olan herkesin şirketlerin bağımlı olduğu MFA ve kimlik doğrulama uygulamalarını atlamak için kullanabileceği anahtar teslim bir kittir. Ve geniş ölçekte kullanılıyor.
Bu yıl halihazırda 64.000'den fazla saldırı izlendi ve birçoğu Microsoft 365 ve Gmail'i hedef alıyor çünkü bu platformlar bir kuruluşa giden en kolay ve en hızlı yolu temsil ediyor.
Tycoon 2FA'nın gücü, teknik beceri ihtiyacını ortadan kaldırmasından gelir. Tamamen paketlenmiş, cilalanmış ve otomatikleştirilmiş bir Hizmet Olarak Kimlik Avıdır. Bir satır kod yazamayan bir genç onu dağıtabilir. Kit, operatöre kurulum boyunca yol gösterir. Sahte giriş sayfaları sağlar. Ters proxy sunucularını çalıştırır.
Bütün ağır işleri o yapıyor. Saldırgan yüzlerce çalışanınıza bir bağlantı gönderir ve birinin ısırmasını bekler.
Kurban tıkladığında gerisini Tycoon 2FA halleder. Kullanıcı adlarını ve şifreleri gerçek zamanlı olarak ele geçirir. Oturum çerezlerini yakalar. MFA akışını doğrudan Microsoft veya Google'a proxy olarak yönlendirir. Kurban sadece bir güvenlik kontrolünden geçtiğini sanıyor ancak saldırganın kimliğini doğruluyor.
Bu, işin dehşet verici kısmı. İyi eğitimli kullanıcılar bile bu tuzağa düşüyor çünkü her şey piksel açısından mükemmel bir şekilde aynı görünüyor. Sayfalar dinamiktir ve meşru sunuculardan canlı yanıtlar alır.
Microsoft kodunuzu girin diyorsa sayfa anında güncellenir. Google bir istem gönderirse, tam olarak beklendiği gibi görünür. Görünür bir fark yok. Hiçbir ipucu yok. Ve herhangi bir eski MFA veya kimlik doğrulama uygulamasının bunu durdurmasının bir yolu yok çünkü Tycoon tasarımı gereği ortada bir adamdır.
Daha da kötüleşiyor. Tycoon 2FA, ticari kötü amaçlı yazılım türlerine rakip olabilecek anti tespit katmanları içerir. Base64 kodlaması. LZ dize sıkıştırması. DOM yok oluyor. CryptoJS şaşırtması. Otomatik bot filtreleme. CAPTCHA zorlukları. Hata ayıklayıcı kontrolleri.
Kit kendisini tarayıcılardan ve araştırmacılardan gizler. Gerçek davranışını ancak bir insan hedefi geldiğinde ortaya çıkarır. Kimlik doğrulama geçişini tamamladıktan sonra saldırgan, Microsoft 365 veya Gmail'de tam oturum erişimine sahip olur.
Buradan yatay olarak SharePoint, OneDrive, e-posta, Teams, İK sistemleri ve finans sistemlerine geçiyorlar. Başarılı bir kimlik avı tam bir uzlaşma yaratır.
"CISO Kılavuzu: Yeni Nesil MFA ile Fidye Yazılımını Durdurmak" adlı e-kitap, fidye yazılımı saldırılarının nasıl geliştiğini ve eski MFA'nın neden buna ayak uyduramadığını araştırıyor.
Bu temel kılavuz, kimlik avına karşı dirençli MFA'nın gerçek dünyadaki etkisini, fidye yazılımını hasar meydana gelmeden nasıl durdurduğunu ve CISO'ların neden biyometrik kimlik avına karşı korumalı kimliğe geçiş yaptığını ortaya koyuyor.
Eski MFA'nın çökmesinin nedeni budur. Bunu yaymanız bile şirketinizi bir bal küpü haline getirir. SMS kodları. Bildirimleri itin. TOTP uygulamaları. Hepsi aynı kusuru paylaşıyor. Kullanıcı davranışına güveniyorlar. Kullanıcının bir şeylerin yanlış olduğunu fark edeceği umuduna bağlıdırlar.
Saldırganlara ele geçirilebilecek, iletilebilecek veya tekrar oynatılabilecek paylaşılan sırlar sunarlar. Tycoon 2FA ve onlarca benzer kit tam olarak bundan yararlanıyor. Kullanıcıyı saldırı vektörüne dönüştürürler. Bulut hesapları aracılığıyla senkronize edildiğinde veya sosyal olarak tasarlanabilecek geri dönüş kurtarma yolları mevcut olduğunda geçiş anahtarlarının bile savunmasız olduğu ortaya çıkıyor.
Saldırganlar bunu tamamen anlıyor. Scattered Spider, Octo Tempest ve Storm 1167 gibi suç grupları bu kitleri her gün kullanıyor. Kolay olması, ölçeklenebilir olması ve teknik karmaşıklık gerektirmemesi nedeniyle dünyada en hızlı büyüyen saldırı yöntemidir.
Şirketler, MFA ve kimlik doğrulama uygulamalarını piyasaya sürüyor ve bu sistemlerin, bir kimlik avı kitinin onları hedeflemeye karar verdiği anda çöktüğünü öğreniyor. Gerçek basit. Birisi çalışanınızı bir kod girmesi veya bir istemi onaylaması için kandırabilirse, saldırgan kazanır. Ve Tycoon tam olarak bunu yapıyor.
Ancak ileriye doğru bir yol var ve kullanıma sunulması hızlı ve kolaydır. FIDO2 donanımı üzerine kurulu biyometrik kimlik avına karşı korumalı kimlik. Yakınlığa dayalı, etki alanına bağlı ve iletilmesi veya yanıltılması imkansız olan kimlik doğrulama. Girilecek kodların, onaylanacak istemlerin, ele geçirilecek paylaşılan sırların olmadığı ve saldırgana yardım etmesi için kullanıcıyı kandırmanın mümkün olmadığı bir sistem.
Sahte web sitelerini otomatik olarak reddeden bir sistem. Oturum açılan bilgisayarın yakınında olması gereken fiziksel bir cihazda canlı biyometrik parmak izi eşleşmesini zorlayan bir sistem.
Bu her şeyi değiştirir çünkü kullanıcıyı karar ağacından çıkarır. Birinin sahte bir giriş sayfasını tanımasını ummak yerine, kimlik doğrulayıcının kendisi kaynağı kriptografik olarak kontrol eder.
Birinin kötü niyetli bir push isteğini reddetmesini ummak yerine, kimlik doğrulayıcı hiçbir zaman bir push isteği almaz. Sistem insanlardan mükemmel olmalarını istemek yerine kimliği yargılamayla değil donanımla doğruluyor.
Token Ring ve Token BioStick'in arkasındaki model budur. Mimariyle kimlik avı kanıtı. İhtiyaca göre biyometrik. Yakınlık varsayılan olarak temel alınır. Etki alanı kriptografiyle sınırlanmıştır.
Çalınacak kod yok. Kandırmaya onay yok. Bir dolandırıcının yararlanabileceği bir kurtarma akışı yoktur. Kullanıcı yanlış bağlantıya tıklasa bile. Bir kullanıcı bir şifre verse bile (eğer bir şifreye sahip olsalar bile). Bir toplum mühendisi BT gibi davranarak arasa bile. Etki alanı eşleşmediğinden ve parmak izi mevcut olmadığından kimlik doğrulama başarısız olur.
Tycoon 2FA duvara çarpıyor. Röle bozulur. Saldırı anında ölür. Ve bu çözümler ucuzdur ve bugün mevcuttur.
Bu cihazları kullanan işletmeler önemli bir şeyi bildiriyor. Çalışanlar bu şifresiz kablosuz çözüme kolayca uyum sağlıyor. Kimlik doğrulama hızlıdır (2 saniye). Hatırlanacak hiçbir şey yok. Yazacak bir şey yok. Onaylanacak bir şey yok. Bu, daha iyi bir kullanıcı deneyimi ve çok daha güçlü bir güvenlik duruşudur.
Kimlik, menşe kontrollerini ve yakınlık gerekliliklerini zorunlu kılan fiziksel bir biyometrik cihaza bağlandığında, kimlik avı kitleri geçersiz hale gelir.
Her işletmenin kabul etmesi gereken an budur. Saldırganlar gelişti ve savunmaların da gelişmesi gerekiyor. Eski MFA bu tehdide dayanamaz. Kimlik doğrulama uygulamaları bu tehdide dayanamaz. Geçiş anahtarları bunun altında mücadele ediyor. Tycoon 2FA, kullanıcılardan herhangi bir şeyi girmesini veya onaylamasını isteyen herhangi bir sistemin saniyeler içinde mağlup edilebileceğini kanıtlıyor.
İşte sade bir dille gerçek. MFA'nız sahte bir web sitesi tarafından kandırılabiliyorsa, zaten güvenliği ihlal edilmiştir. Kimlik doğrulamanız aktarılabiliyorsa, öyle olacaktır. Sisteminiz kullanıcının kararına bağlıysa başarısız olur. Kimlik avına dayanıklı, yakınlığa bağlı ve etki alanı kilitli biyometrik donanım tabanlı kimlik, ilerlemenin tek yoludur.
Suçlular gelişti. Şimdi sıra sizde. Tycoon veya halefleri sizi bir sonraki manşet haline getirmeden önce kimlik katmanınızı yükseltin.Token ürünleri artık çevrimiçi olarak mevcuttur: https://store.tokenring.com
Token sponsorluğunda ve yazılmıştır.
Kaynak: Bleeping Computer