有名企業の最新のハッキングは、攻撃者がますます多要素認証 (MFA) スキームを回避する方法を見つけていることを浮き彫りにしています。

9 月 XNUMX 日、Reddit は、スピアフィッシング攻撃の一環として送信された電子メールのリンクをクリックするように脅威アクターが従業員を説得したことをユーザーに通知しました。資格情報と第 XNUMX 要素トークンを盗もうとしている」 

従業員の資格情報の侵害により、攻撃者は Reddit のシステムを数時間ふるいにかけ、内部文書、ダッシュボード、およびコードにアクセスすることができました。 その助言で述べた.

同社は調査を続けていますが、攻撃者がユーザー データや本番システムにアクセスしたという証拠はまだありません。Reddit CTO の Chris Slowe (別名 KeyserSosa) フォローアップAMAに記載.

「否定を証明することは非常に困難であり、また、前述のように、なぜ調査を続けているのか」と彼は述べた. 「立証責任は現在、アクセスがメインの本番スタックの外部に限定されていたことを裏付けています。」

Reddit は、ソーシャル エンジニアリング攻撃の餌食になった最新のソフトウェア会社です。ソーシャル エンジニアリング攻撃は、従業員の資格情報を収集し、機密システムの侵害につながりました。 XNUMX 月下旬、人気マルチプレイヤー ゲームのリーグ オブ レジェンドのメーカーである Riot Games は、妥協したことを発表しました。 「ソーシャルエンジニアリング攻撃を介して」 攻撃者がコードを盗み、会社が更新をリリースする能力を遅らせています。 その XNUMX か月前、攻撃者は、Take Two Interactive の Rockstar Games スタジオ (Grand Theft Auto フランチャイズのメーカー) からソース コードを侵害して盗むことに成功しました。 侵害された資格情報の使用.

フィッシング攻撃や資格情報の盗難によって引き起こされる小さな違反であっても、コストは引き続き高くなります。 1,350 人の IT 専門家と IT セキュリティ マネージャーを対象とした調査では、75 分の XNUMX (XNUMX%) が、自分の会社は過去 XNUMX 年間に電子メール攻撃に成功したと述べています。 「2023 年電子メール セキュリティ トレンド」レポート アプリケーションおよびデータ保護のプロバイダーである Barracuda Networks によって公開されています。 さらに、平均的な企業は、最も費用のかかるこのような攻撃で 1 万ドル以上の損害と復旧費用が発生したことを確認しています。

それでも、企業はフィッシングとスピアフィッシングの両方に対処する準備ができていると感じており、準備ができていなかったのではないかと心配している回答者はわずか 26% と 21% でした。 これは、47 年に自社の準備が整っていないことを懸念していたそれぞれ 36% と 2019% から改善されています。

「組織はフィッシング攻撃を防ぐための準備ができていると感じているかもしれませんが、通常はフィッシング攻撃の成功の副産物であるアカウントの乗っ取りに対処する準備ができていません」と報告書は述べています. 「従業員の大半がリモートで作業している組織にとって、アカウントの乗っ取りは大きな懸念事項でもあります。」

2FA では不十分であることのさらなる証明

資格情報ベースの攻撃を阻止するために、企業は MFA に移行しています。通常は 2 要素認証 (2FA) の形式で、ワンタイム パスワードがテキストまたは電子メールで送信されます。 たとえば、Reddit の Slowe は、同社が XNUMXFA を必要としていることを確認しました。 "うん。 Reddit での使用とすべての内部アクセスの両方で、すべての従業員に必要です。」 彼はAMA中に言った.

しかし、MFA 疲労や「爆撃」などの手法は、 昨秋の Uber 攻撃 — 2FA をシンプルな数字ゲームにします。 このシナリオでは、誰かが通知にうんざりし、資格情報とワンタイム パスワード トークンをあきらめるまで、攻撃者は従業員に標的型フィッシング攻撃を繰り返し送信します。

2FA を超えた次のレベルへの移行が起こり始めています。 たとえば、ID およびアクセス管理テクノロジのプロバイダーは、アクセスを認証する必要があるかどうかを判断するために使用できるコンテキストを追加するために、ユーザーの場所など、アクセス要求に関する情報を追加しています。フィッシング保護会社。

「攻撃者は常に、私たちが実装した技術的な制御を回避する方法を探します」と彼女は言います。 「組織は引き続き MFA の使用を実装し、従業員を保護するために制御を調整し続ける必要があります。」

従業員はサイバー防御の鍵

皮肉なことに、Reddit のハッキングは、従業員のトレーニングがもたらす利点も示しています。 従業員は、フィッシング サイトに資格情報を入力した後、何かがおかしいと疑い、すぐに Reddit の IT 部門に連絡しました。 これにより、攻撃者の機会が減り、ダメージが制限されました。

「今こそ、従業員を弱みと見なすのをやめ、代わりに、従業員を組織にとっての強み、または強みと見なすときです」と Dudley 氏は言います。 「これまでのところ、組織は技術的な制御を調整することしかできません…従業員は、『これは正しくないようだ』という追加のコンテキストを提供できます。」

Reddit侵害の中心にいる従業員は、長期的な懲罰的措置に直面することはありませんが、問題が解決されるまですべてのアクセスが取り消されました. Reddit の Slowe 氏は次のように述べています。 フォローアップAMAで。

「問題は、いつものように、[フィッシング] に引っ掛かるのに XNUMX 人しかかからないことです。」 彼は言った、「従業員が、この場合、それが起こったことに気付いたときにそれが起こったことを報告してくれたことに非常に感謝しています。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/risk/reddit-hack-shows-limits-mfa-strengths-security-training