Falsk trygghet med multifaktorautentisering (MFA) och värdet med en säkerhetskultur – Social Engineering

Jag har aldrig varit så exalterad över ett lyckat Social Engineering uppdrag tidigare och samtidigt fullständigt livrädd för den okunskap som råder gällande multifaktorautentisering (MFA). Vi lyckades manipulera oss förbi kundens MFA-lösning genom att utnyttja den mänskliga faktorn och således hade vi upprättat åtkomst till kundens interna IT-miljö.

Det finns en generell förståelse för hur man praktiskt använder sig av MFA men syftet med säkerhetsfunktionen har förlorats längs vägen. Människan som variabel är en utmaning i säkerhetsarbetet och upprättandet av en kultur som genomsyras av säkerhet är av betydande värde.

Vad är multifaktorautentisering (MFA)?

Multifaktorautentisering (MFA) tillför ytterligare en säkerhetsperimeter, vilket försvårar åtkomst för en potentiell angripare, till skillnad från användandet av endast ett användarnamn och ett lösenord vid inloggning. MFA fungerar genom att kräva två eller fler av följande autentiseringsmetoder – något du känner till exempelvis en lösenordsfras, något du har exempelvis en betrodd enhet så som telefonen och något som du är exempelvis ditt fingeravtryck eller annan biometri.

Vishing som angreppssätt med syfte att ta sig förbi kundens MFA lösning – Case

En måltavla läckte sitt användarnamn och lösenord i och med ett phishingemail under ett pågående uppdrag. Utmaningen med att nå den interna IT-miljön utgjordes av att MFA var implementerat. Måltavlan agerade reaktivt och besvarade phishingemailet och uppgav information som vishingscenariot sedan kom att byggas på.

Under vishingen uppmanades måltavlan att identifiera sig själv genom att uppge sifferkoden från autentiseringsappen. Motiveringen till detta var att måltavlan var tvungen att verifiera sig så att frågan (vishingscenariot) kunde diskuteras över telefon. Information till måltavlan inkluderade även att det här var en ny process som inrättats i samband med att dataskyddsförordningen (GDPR) trädde i kraft.

Det måltavlan ej var medveten om var att det, i samband med telefonsamtalet, initierades en inloggningsprocess med det stulna användarnamnet och lösenordet. När måltavlan sedan uppgav autentiseringskoden matade vi in den och åtkomst till den interna IT-miljön hade således upprättats. Syftet med åtkomst till en IT-miljö för en angripare skiljer sig från fall till fall. Vi hade nu upprättat åtkomst till IT-miljön trots att organisationen skyddade sig med MFA.

Ett beteende som strider mot det tekniska syftet

Utmaningen för att MFA ska tillämpas på ett korrekt sätt ligger i att användarna är människor. Människor kan manipuleras och luras till att göra saker som strider mot grundsyftet av den tekniska säkerhetsfunktionen. Det är av vikt att hålla utbildningar för användarna, dels med fokus på social engineering och beteenden som utnyttjas men även med fokus på teknik. Organisationen måste ge förutsättningar för användarna att lyckas när en teknisk implementation införs. Om en användare ej förstår varför en teknisk säkerhetsfunktion finns och vad den syftar till så kommer individen vara en måltavla för angrepp.

Det går ofta att läsa att angripare kapar ens BankID. Det kan dock lätt missförstås. Det är personen som kapas eftersom denne manipuleras till att genomföra en inloggning som resulterar i åtkomst för angriparen.

Det finns flera MFA-appar tillgängliga, exempelvis Microsoft authenticator och Google authenticator. Alternativt kan en hårdvarubaserad multifaktor användas, exempelvis en säkerhetsnyckel. Att implementera och använda MFA är en varm rekommendation, så länge säkerhetsfunktionen inte leder till en falsk trygghet.

Falsk trygghet för både organisation och individ

Tekniska säkerhetsfunktioner kan skapa en falsk trygghet för användaren men även ur ett organisatoriskt perspektiv. Det är av största vikt för organisationer att främja och bygga en säkerhetskultur. Det är ett strategiskt säkerhetsarbete som innebär planering, utbildning och medvetenhet. Arbetet med säkerhet i organisationer måste tillåtas, prioriteras men framförallt påbörjas. Säkerhet måste finnas med i varenda process inom organisationen.

MFA is just one layer of security and we need to work with different layers to provide prevention against highly sophisticated and persistent cyber-attacks.” – Hasain Alshakarti

Vikten av att skapa en säkerhetskultur – var börjar vi?

Jag arbetar med att stärka organisationers motståndskraft mot angrepp som riktar sig mot de anställda. Vikten av en säkerhetskultur kan inte nog betonas i sammanhanget. Angrepp mot människor är på riktigt och det måste kommuniceras inom organisationer och göras förståeligt. Det ska föreligga en kultur som främjar trygghet och transparens, där du vågar lyfta misstankar till en kollega eller chef av att du potentiellt klickat på en skadlig länk. Där du vågar att ifrågasätta ett email och motringa avsändaren för att kontrollera om personen verkligen är den som skickat mailet i fråga – även om det är din chef eller VDn för bolaget. Där du vågar stanna upp och stoppa personen som försöker ta rygg på dig in genom den låsta dörren till kontoret.

Så hur börjar vi bygga en kultur med fokus på säkerhet? Ett alternativ är att samla en person från ledning, en person från IT och en person från Säkerhetsavdelningen (om det nu i bästa fall finns en sådan) vid fikabordet och skapa förutsättningar för dialog. Eller varför inte börja prata om säkerhet under en lunchpromenad med kollegan. Det handlar inte om var i organisationen vi börjar, det viktiga är ATT vi börjar prata och tillämpa säkerhet. Här spelar även individuellt ansvar in, att vi bryr oss och föregår med gott exempel.

En tanke till dig att ta med i vardagen

Medvetenheten för och motståndskraften mot Social Engineeringsangrepp måste öka.Jag bidrar till ökningen i medvetandegrad genom att kontinuerligt hålla utbildningar i ämnet och utföra beställda uppdrag i form av social engineeringtester och fysiska intrång.

Jag vill lämna dig med en tanke som jag vill att du erinrar dig varje gång du får en förfrågan om att godkänna en inloggningsbegäran eller uppge en sifferkod genererad av din autentiseringsapp – är det du själv som initierat den specifika inloggningen?

I kommande inlägg kommer du exempelvis att kunna läsa om etisk manipulation, hur människans beteende utnyttjas vid digitala och fysiska angrepp och utmaningar vid fysiska intrång.

Inlägget har belyst multifaktorautentisering (tvåstegsverifiering), falsk trygghet, social engineering, medvetenhet och värdet av att skapa en säkerhetskultur.