Taggat med: SMS

Så tar sig angripare förbi multifaktorautentisering

En relativt ny metod för angripare att ta sig in i IT-system kallas för MFA-spamming (multifaktorautentisering). Dvs angriparna skickar förfrågningar om och om igen tills personen som använder MFA-appen till slut blir less och godkänner inloggningen. Som metod för MFA används vanligtvis SMS, OTP via app eller push-notifieringar. När hackergruppen LAPSUS$ angrep bl.a. Okta som jag tidigare skrivit om så tog dom sig in med just denna metod.

Metoden har observerats av Mandiant i tidigare rapporter och bl.a. så har ryska hackergrupper använt denna metod i några år. En av leverantörerna, Microsoft har nu infört så att man även kan matcha ett nummer i appen med det som visas på skärmen vid inloggning.

Här är en skärmdump på hur det ser ut vid inloggning via webbläsaren på desktop och det meddelande som dyker upp i Microsoft Authenticator-appen:

Använder du Microsoft Sentinel så kan följande KQL-frågor vara av intresse från reprise99:

Glöm inte heller att slå på Require number matching (preview) i Azure AD portalen. Attacken går även under namnet MFA fatigue attacks, vilket på svenska blir något i stil med MFA-utmattningsattack.

Observera även att denna attack används tillsammans med credential stuffing där läckta eller stulna kombinationer med användarnamn/lösenord används.

Vi testar krypterad E-post med Poosty

Poosty är en webbmail-tjänst som lanserades redan 2008 men har nu fått ett litet uppsving då konsultföretaget AddQ har gått in som delägare. Tjänsten startades av Stefan Waldeck som tidigare var nordisk marknadschef på Yahoo Searchmarketing.

Att kalla det för krypterad E-post är nog kanske lite att ta i, kanske bättre att kalla det för meddelanden med SMS-verifiering. Tjänsten använder sig nämligen av en sex tecken lång kod som används som verifieringsnyckel. Koden skickas separat via SMS samt så skickas även ett notifierings E-postmeddelande till den person du vill skicka ditt meddelande.

När vi testar tjänsten så skriver vi det hemliga meddelandet på Poostys servrar som är lokaliserade i Irland (Amazon Web Services, framgår även i dess sekretesspolicy) och över en https-anslutning. Även så kan Google läsa det hemliga meddelandet vi skriver, eftersom Google Analytics JavaScript laddas in i vår webbläsare.

Poosty är gratis i sitt grundutbud om du väljer att använda externa tjänster (tex. SMS meddelanden) eller uppgradera till våra premiumtjänster så måste du betala.

Vi ser en ljus framtid för Poosty och är väldigt stolta över att ha gått in som strategisk partner och delägare. Genom att vi har kvalitetssäkrat tjänsten vet vi dessutom att den levererar den säkerhet, enkelhet och tillförlitlighet som den ska göra.

Säger Petter Salomonsson, VD på AddQ Consulting.

Uppdatering: Obligatorisk läsning gällande Google Analytics och SSL finnes här.
Uppdatering 2: Se officiellt svar från Poosty i kommentarer till detta inlägg.