The Cybercriminal Arsenal: MFA Attacks
Mehtälä, Herkko (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024121636138
https://urn.fi/URN:NBN:fi:amk-2024121636138
Tiivistelmä
Monivaiheinen tunnistautuminen (MFA) on tullut keskeiseksi osaksi nykyaikaista kyberturvallisuutta. Se on merkittävästi parantanut organisaatioiden ja yksilöiden turvallisuutta. Sen laajasta käyttöönotosta huolimatta, uhkatoimijat ovat kehittäneet uusia menetelmiä MFA:n ohittamiseksi, mikä vaatii syvempää ymmärrystä näistä haavoittuvuuksista. Tämä tutkimus tutkii erilaisten MFA-toteutusten tehokkuutta eri julkisesti saatavien työkalujen ja tekniikoiden avulla.
Tutkimuksessa tarkastellaan MFA:n nykyisiä uhkia ja luodaan kontrolloitu ympäristö, jossa simuloidaan todellisia hyökkäysskenaarioita tileille, jotka on konfiguroitu erilaisilla MFA-menetelmillä, kuten tekstiviestipohjaisilla kertakäyttösalasanoilla, push-ilmoituksilla, biometrisillä tarkistuksilla ja laitteistoavaimilla. Kokeilu osoitti, että suurin osa MFA-menetelmistä, lukuun ottamatta nimenomaisesti kalastelunkestäviksi mainostettuja menetelmiä, voidaan ohittaa julkisesti saatavilla olevilla työkaluilla ja tekniikoilla.
Tulokset korostavat tarvetta kalastelunkestäville MFA-ratkaisuille sekä käyttäjien koulutuksen ja tietoisuuden lisäämistä näiden hyökkäysten tunnistamiseksi. Kalastelunkestäviä MFA-ratkaisuja, kuten FIDO-allianssin WebAuthn tai PKI, voidaan hyödyntää tutkittujen hyökkäysten torjumisessa. Lisäksi tutkimuksessa arvioidaan, voidaanko näitä MFA-hyökkäyksiä simuloida kyberturvallisuusharjoituksissa. Multi-factor authentication (MFA) has become a cornerstone of modern cyber security. It has significantly enhanced security of organizations and individuals. Despite its widespread adoption and effectiveness, threat actors have developed sophisticated methods to bypass MFA, requiring a deeper understanding of these vulnerabilities. This research investigates the effectiveness of various MFA implementations against different publicly available tools and techniques.
The study explores the current threat landscape facing MFA and sets up a controlled environment to simulate real-world attack scenarios on accounts configured with different MFA methods including SMS based one-time-passwords, push notifications, biometric verifications and hardware keys. The experiment showed that most MFA methods, except methods explicitly advertised as phishing-resistant, could be bypassed with tools and techniques that are publicly available.
The findings highlight the need for phishing-resistant MFA solutions and the need for user education and awareness in recognizing these attacks. Phishing-resistant MFA solutions like FIDO alliance’s WebAuthn or PKI can be used to defeat the explored attacks. In addition, the study evaluates the viability of simulating MFA attacks using the explored tools for cyber security exercises.
Tutkimuksessa tarkastellaan MFA:n nykyisiä uhkia ja luodaan kontrolloitu ympäristö, jossa simuloidaan todellisia hyökkäysskenaarioita tileille, jotka on konfiguroitu erilaisilla MFA-menetelmillä, kuten tekstiviestipohjaisilla kertakäyttösalasanoilla, push-ilmoituksilla, biometrisillä tarkistuksilla ja laitteistoavaimilla. Kokeilu osoitti, että suurin osa MFA-menetelmistä, lukuun ottamatta nimenomaisesti kalastelunkestäviksi mainostettuja menetelmiä, voidaan ohittaa julkisesti saatavilla olevilla työkaluilla ja tekniikoilla.
Tulokset korostavat tarvetta kalastelunkestäville MFA-ratkaisuille sekä käyttäjien koulutuksen ja tietoisuuden lisäämistä näiden hyökkäysten tunnistamiseksi. Kalastelunkestäviä MFA-ratkaisuja, kuten FIDO-allianssin WebAuthn tai PKI, voidaan hyödyntää tutkittujen hyökkäysten torjumisessa. Lisäksi tutkimuksessa arvioidaan, voidaanko näitä MFA-hyökkäyksiä simuloida kyberturvallisuusharjoituksissa.
The study explores the current threat landscape facing MFA and sets up a controlled environment to simulate real-world attack scenarios on accounts configured with different MFA methods including SMS based one-time-passwords, push notifications, biometric verifications and hardware keys. The experiment showed that most MFA methods, except methods explicitly advertised as phishing-resistant, could be bypassed with tools and techniques that are publicly available.
The findings highlight the need for phishing-resistant MFA solutions and the need for user education and awareness in recognizing these attacks. Phishing-resistant MFA solutions like FIDO alliance’s WebAuthn or PKI can be used to defeat the explored attacks. In addition, the study evaluates the viability of simulating MFA attacks using the explored tools for cyber security exercises.