So wie wir glauben, dass wir Cyberkriminellen einen Schritt voraus sind, finden sie einen neuen Weg, um unseren Verteidigungen zu entgehen.
Die neueste Methode, die Schwierigkeiten bei Sicherheitsteams verursacht, ist die von Gerätecode Phishing, eine Technik, die Benutzer dazu bringt, Zugriff auf sensible Konten zu gewähren, ohne dass Angreifer ein Passwort stehlen müssen.
Microsoft Kürzlich hat eine Warnung vor einem bestimmten Gerätecode-Phishing-Kampagne von Storm-2372 herausgegeben, bei dem ein vermeintlicher Schauspieler mit russisch unterstütztem Bedrohung durch Legitime Authentifizierungsströme Chaos anrichtete. Diese Angriffe sind schwieriger zu erkennen als gewöhnlich, da sie reale Anmeldeseiten ausnutzen (und nicht die gefälschten Versionen, auf die sich herkömmliche Phishing-Techniken stützten) und in der Lage sind, die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Die jüngste Warnung von Microsoft wird höchstwahrscheinlich die erste von vielen sein. Verschiedene andere Plattformen folgen dem gleichen Authentifizierungsströmen, und Angreifer werden die Technik höchstwahrscheinlich an anderer Stelle replizieren. Es liegt noch einmal auf Sicherheitsteams, die Warnzeichen dieser neuen Phishing -Generation zu identifizieren und die umzusetzen Beste Cybersicherheit Praktiken, um der Kurve voraus zu sein.
Mike Britton
Soziale Links Navigation
CIO von abnormaler Sicherheit.
Verständnis der Gerätecode Phishing
Im Gegensatz zu herkömmlichen Phishing -Angriffen mit Anmeldeinformationen ist das Phishing von Gerätecode insofern eindeutig, da es nicht erforderlich ist, ein Passwort direkt zu stehlen. Stattdessen manipuliert Angreifer die Opfer dazu, den Zugriff auf ihre Konten zu übergeben, indem sie Authentifizierungsmethoden ausnutzen, die die Protokollierung erleichtern.
Sie beginnen genauso wie die meisten E -Mail -Angriffe: durch Social Engineering. Durch die Identität eines vertrauenswürdigen Kollegen oder IT -Administrators senden die Angreifer eine E -Mail -Einladung an ein Online -Meeting (oft a Microsoft Teams Treffen) das sieht legitim aus. Die E -Mail ist so konzipiert, dass sie normal erscheint – zum Beispiel könnte sie wie ein echtes Team -Meeting -Einladung aussehen.
Wenn das Opfer auf den Link in der gefälschten Einladung klickt, werden es aufgefordert, sich mit einem speziellen Code (dem „Gerätecode“) anzumelden, der vom Angreifer bereitgestellt wird. Und weil die Website, auf der sie landen, eine echte Microsoft -Anmeldeseite ist, vermutet der Benutzer nichts Phishy.
Was diese Technik besonders gefährlich macht, ist, dass sie legitime Authentifizierungssysteme ausnutzt, ohne gefälschte zu erstellen. Dies beseitigt die Notwendigkeit, dass Angreifer Passwörter stehlen müssen. Stattdessen können sie Zugriff erhalten, indem sie Sitzungs -Token erfassen, mit denen sie arbeiten können, ohne zusätzliche Authentifizierungsaufforderungen auszulösen. Und weil die Token bereits verifiziert sind, können Angreifer MFA häufig umgehen.
Auf den ersten Blick scheint nichts ungewöhnlich. Der Verdacht wird aufgrund der offiziellen Microsoft -Website reduziert. Daher zögert die Opfer nicht, einen Gerätecode einzugeben, um die Sitzung zu authentifizieren. Anstatt ihr eigenes Gerät zu verbinden, autorisieren sie jedoch unwissentlich die Sitzung des Angreifers. Sobald der Zugang gewährt ist, hat der Angreifer die Schlüssel zum Königreich und kann frei auf dem Konto des Opfers arbeiten, auf sensible Informationen zugreifen und laterale Angriffe starten.
Wie Benutzer diese Angriffe erkennen und vermeiden können
Der Gerätecode Phishing hat ein Minenfeld erstellt, in dem legitime Tools für böswillige Zwecke verwendet werden. Organisationen müssen proaktiv bei der Erkennung dieser Angriffe und sicherstellen, dass wir effektive Authentifizierungssicherheitsmaßnahmen vorhanden sind.
Benutzer sollten immer unerwartete Besprechungsladungen mit Verdacht behandeln, insbesondere wenn sie Anmeldungsaufforderungen enthalten, die sofortige Maßnahmen erfordern. Vor dem Eingeben eines Gerätecode sollten Benutzer die Legitimität der Anfrage über einen separaten Kommunikationskanal wie einen direkten Telefonanruf oder eine interne Messaging -Plattform überprüfen. Wenn eine Anmeldeanforderung aus heiterem Himmel erscheint, ist es immer am besten, das Fortschreiten zu vermeiden, bis die Echtheit bestätigt wird.
Gerätecodes sind besonders wirkungsvoll, da sie für vertrauenswürdige Geräte ausgelegt sind. Infolgedessen sollten Benutzer niemals einen Login -Code mit einer anderen Person freigeben oder einen Code eingeben, den sie erhalten E-Mail oder Chat es sei denn, sie haben die Anfrage persönlich initiiert. Legitime Dienste senden niemals einen Gerätecode per E -Mail und bitten einen Benutzer, ihn auf einer separaten Website einzugeben. Wenn Belegschaft mit diesem grundlegenden Sicherheitsprinzip in den Griff bekommen können, kann dies verhindern, dass viele Phishing -Versuche des Gerätecode erfolgreich sind.
Organisationsschritte zur Minderung des Risikos
Der Schutz vor diesen Angriffen kann sich nicht nur auf den Benutzer verlassen, und die Organisationen müssen Maßnahmen ergreifen, um das Risiko eines Phishing des Gerätecode zu verringern.
Eine der effektivsten Maßnahmen ist die Deaktivierung unnötiger Gerätecode -Authentifizierungsflüsse. Wenn es für den Geschäftsbetrieb nicht wesentlich ist, sollte es entfernt werden, um einen signifikanten Angriffsvektor zu beseitigen. Sicherheitsteams sollten regelmäßig Authentifizierungsrichtlinien überprüfen und die Anmeldungen des Gerätecode auf nur vertrauenswürdige Geräte beschränken.
Die konditionellen Zugriffsrichtlinien gehen noch einen Schritt weiter, da sie die Authentifizierungsversuche basierend auf dem Benutzerverhalten, dem Gerätetyp, dem geografischen Standort und dem Risikoniveau einschränken können. Wenn ein Anmeldeversuch von einem unbekannten Ort oder außerhalb der zugelassenen Geschäftszeiten erfolgt, kann der Zugang blockiert werden oder eine zusätzliche Überprüfung erfordern.
Aus diesem Grund ist es der Schlüssel, Verhaltens -KI -Maßnahmen anzunehmen, die das „normale“ Grundverhalten in der IT -Umgebung einer Organisation festlegen und alles, was gewöhnlich ist, in Frage stellt. Verhaltens -AI -Systeme analysieren Eigenschaften wie Anmeldemuster, um Anomalien wie mehrere Authentifizierungsversuche von verschiedenen Stellen oder ungewöhnlichen Gerätecode -Einreichungen zu erkennen. Durch den Vergleich dieser Aktivitäten mit bekannten Benutzernverhalten können Abweichungen von der Norm als misstrauisch gekennzeichnet werden.
Und da der Gerätecode Phishing bei Meeting einladungen zur Verbreitung des Angriffs abhängt, sollten diese ebenfalls überwacht werden. Sicherheitsteams sollten regelmäßig ungewöhnliche Bewertungsmuster der Besprechungsanforderung prüfen und reichen, insbesondere solche, die aus gefährdeten Konten stammen.
Zuletzt sollten Programme für Sicherheitsbewusstsein eine laufende Merkmale einer Cybersicherheitsstrategie sein. Cyber -Bedrohungen entwickeln sich ständig, sodass auch das Training kontinuierlich sein sollte. Die Mitarbeiter müssen geschult werden, um die Warnzeichen von Gerätecode Phishing zu erkennen und die Risiken des Eingebens von Authentifizierungscodes ohne Überprüfung zu verstehen. Es ist von entscheidender Bedeutung, eine Kultur zu schaffen, in der Sicherheit beim Umgang mit unerwarteten Anfragen vorhanden ist.
Die Zeit zum Handeln ist jetzt
Da sich diese neueste Technik weiterhin als effektiv erweist, wird Cyberkriminelle zweifellos die Verwendung von Gerätecode -Phishing erweitern. Organisationen müssen nun handeln, um sich gegen diese aufkommende Bedrohung zu verteidigen. Eine Kombination aus Benutzerbewusstsein und starken Sicherheitsrichtlinien, die durch die Erkennung fortgeschrittener Bedrohung verstärkt werden, kann Organisationen helfen, weiter zu bleiben.
Je früher Unternehmen diese Maßnahmen implementieren, desto früher können sie ihre Exposition gegenüber dem Phishing von Gerätecode verringern und ihre Mitarbeiter, Daten und Systeme vor dieser wachsenden Cyber -Bedrohung schützen.
Wir haben die beste Identitätsmanagementsoftware aufgelistet.
Dieser Artikel wurde als Teil des Expert Insights Channel von TechRadarPro produziert, in dem wir heute die besten und klügsten Köpfe in der Technologieindustrie bieten. Die hier geäußerten Ansichten sind die des Autors und nicht unbedingt die von TechRadarPro oder Future Plc. Wenn Sie daran interessiert sind, hier mehr zu ermitteln: https://www.techradar.com/news/submit-your-story-techradar-pro
