Sånn kommer hackerne seg forbi tofaktor: - Viktig at dette blir belyst

Angrepet på pensjonskassa i Haugesund er ikke spesielt unikt, advarer pentester.

- Det er jo et problem at teknikker som har blitt benyttet siden 2018 ikke er kjent for de fleste, sier Martin Ingesen, daglig leder av pentester-selsak📸: Ed Hardie
- Det er jo et problem at teknikker som har blitt benyttet siden 2018 ikke er kjent for de fleste, sier Martin Ingesen, daglig leder av pentester-selsak📸: Ed Hardie Vis mer

NTB meldte i går at Haugesund kommunale pensjonskasse var utsatt for et datainnbrudd.

IKT-sjef Eirik Østensjø sa til NTB at "angrepet satte en støkk i oss. Vi visste at det var teoretisk mulig å hacke seg forbi tofaktorbekreftelse, men jeg kjenner ikke til at dette har skjedd i Norge før".

Dette overrasker Martin Ingesen, daglig leder i pentester-selskapet Kovert:

- Dette er en kjent teknikk vi har benyttet i flere år. Det finnes flere åpen kildekode-verktøy for å gjennomføre denne typen angrep, og metodikken har blitt benyttet av ondsinnede aktører siden 2018, sier han til kode24.

Ikke mange kjenner til teknikkene

Ifølge NTB viste loggene til Haugesund kommunale pensjonskasse at påloggingen kom fra en kjent Microsoft IP-adresse i Nederland. Ved første øyekast så det dermed ut til å være en legitim pålogging. Undersøkelser viste at hackerne hadde benyttet seg av phishing-verktøyet Evil Proxy for å komme seg inn.

Ingesen gjorde i 2018 en demonstrasjon for Aftenposten, hvor de brukte phishing av tofaktorautentisering for å logge inn hos DNB.

- Det er jo et problem at teknikker som har blitt benyttet siden 2018 ikke er kjent for de fleste. Det er tydelig at vi som sikkerhetsbransje har et ansvar for å formidle og forklare hvordan denne typen angrep kan inntreffe. Vi forsøker etter beste evne å informere om denne risikoen i løpet av våre sikkerhetstester for våre kunder, men det er vanskelig å nå ut til "alle", sier Ingesen.

Martin Ingesen er daglig leder i pentesterselskapet Kovert. 📸: Mattis Vaaland
Martin Ingesen er daglig leder i pentesterselskapet Kovert. 📸: Mattis Vaaland Vis mer

Sånn lurer de seg forbi tofaktor

Ifølge Ingesen finnes det flere ulike måter å komme seg forbi tofaktorautentisering, men disse teknikkene utvikler seg kontinuerlig i takt med at tilbyderne prøver å gjøre det vanskeligere å lure systemet.

- Den historiske måten vi har gjort dette på, er å enten lure brukeren til å besøke en klonet eller falsk nettside som sender innloggingsinformasjon og tofaktor-kode direkte til oss, sier han.

Kovert må da sitte "klar" for å ta imot informasjonen og logge inn på den ekte nettsiden.

- Eller man lurer brukeren til å besøke en proxy, hvor brukeren logger på den ekte nettsiden, men via vår proxy. På denne måten får vi tilgang til all informasjon som blir sendt via proxyen; deriblant informasjonskapslene for brukeren, som vi benytter å logge inn på den ekte nettsiden. Det er sånn EvilProxy gjennomfører sine angrep. Det er også slik verktøyene Evilginx2 og Modlishka fungerer.

Vis mer Vis mer

Angriperen kan holde på uendelig

En annen teknikk Kovert bruker mye nå, er såkalt "multifaktor autentiserings (MFA) fatigue", for tjenester der du logger inn på en bruker og mottar push-varsler på mobiltelefonen for å bekrefte at innloggingen er legitim.

- Her finnes det som regel ingen antallsbegrensning, så hvis brukeren trykker "Nei" på varselet, så kan angriperen bare sende en ny varsel, og holde på i det uendelige, inntil brukeren tenker at "dette er en bug, jeg godkjenner", sier Ingesen.

Han legger til at et siste alternativ kan være å ringe brukeren og be dem om en tofaktorkode.

- Dette har vi gjort ved flere anledninger, med stor suksess. Terskelen for å gi fra seg en tofaktorkode er langt lavere enn å be noen om passordet deres, sier Ingesen.

«Vi anbefaler dermed å utforske hvilke muligheter man har til å øke MFA-sikkerheten i de tjenesten man benytter.»

Viktig å forstå trusselbildet

- Har for mange for stor tillit til multifaktorautentisering?

- Multifaktorautentisering er en viktig del av å sikre sin digitale identitet fra hackere. Men det er viktig å forstå at hvilken type MFA man bruker også har påvirkning på hvor sikker man er mot målrettede angripere, sier Ingesen.

For eksempel ser man at SMS-basert multifaktor kan utgjøre en stor risiko hvis "SIM-swapping" er en realistisk trussel for deg. SIM-swapping er en angrepstype hvor en trusselaktør stjeler et mobiltelefonnummer ved å overføre det til et annet SIM-kort som de kontrollerer.

- Det samme gjelder kodebasert MFA eller pushvarslinger. Uheldigvis har man heller ikke så mye valg alltid når det kommer til hvilken type MFA man får lov til å benytte hos den enkelte nettside eller programvare.

Ifølge Ingesen er det en positiv utvikling mot standardiserte løsninger for MFA som er mer motstandsdyktig mot phishingangrep.

- Men det er nok en stund før dette er rullet ut og skrudd på hos alle

Utforsk hvilke muligheter du har

Ingesen den beste sikringen handler om trusselforståelse og brukeropplæring.

- Det er viktig at slike teknikker blir belyst, slik at man kan trene de ansatte til å avdekke denne typen phishing.

I tillegg til dette, så foregår utviklingen av såkalt "phishing-resistant" MFA som vil gjøre denne typen angrep mye mer vanskelig, om ikke umulig. FIDO2 fysiske sikkerhetsnøkler, WebAuthn, Passkeys, og andre aktiviteter er viktige elementer i dette.

- MFA som er mer motstandsdyktig mot phishingangrep er i stor grad støttet av de største selskapene i verden som Microsoft, Google, Facebook, med mer. Vi anbefaler dermed å utforske hvilke muligheter man har til å øke MFA-sikkerheten i de tjenesten man benytter, sier Ingesen.