Kody SMS do logowania to za mało. UODO ostrzega

Korzystając z portali internetowych wymagających uwierzytelniania, często możemy użyć opcji „zapamiętaj mnie”. Dzięki temu nie musimy każdorazowo logować się do danej usługi – umożliwiają to właśnie tokeny sesyjne.

Kradzież sesji jest bardzo groźna, ponieważ umożliwia uzyskanie nieuprawnionego dostępu do konta, pomimo aktywnego wykorzystywania uwierzytelniania wieloskładnikowego (MFA).

„Mechanizmy oparte na kodach jednorazowych lub SMS, które jeszcze niedawno zapewniały akceptowalny poziom ochrony, okazują się niewystarczające wobec współczesnych, wieloetapowych technik ataku” – podkreśla w rozmowie z nami Andrzej Zieliński, Naczelnik Wydziału w Departamencie Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych.

W trakcie analizy zgłaszanych incydentów obserwujemy rosnącą liczbę przypadków, w których dochodzi do kradzieży tokenów sesyjnych, a osoby atakujące uzyskują dostęp do zasobów organizacji pomimo stosowania uwierzytelniania wieloskładnikowego (MFA).
Andrzej Zieliński, UODO

Na czym polega kradzież sesji?

Przejęcie tokenów sesyjnych umożliwia atakującemu uzyskanie dostępu do konta z pominięciem procesu logowania.

„System traktuje taką próbę jako sesję już wcześniej uwierzytelnioną, co pozwala atakującemu działać bez konieczności podawania hasła czy kodu weryfikacyjnego” – podkreśla Zieliński.

Wiele ofiar cyberprzestępców trafia na fałszywe strony logowania, które pełnią rolę pośrednika między użytkownikiem a prawdziwą stroną. Wówczas atakujący są w stanie przechwycić zarówno hasło, jak i token sesji. Takie działanie nosi nazwę Adversary‑in‑the‑Middle (AiTM).

UODO podkreśla, że przechwycenie tokenu umożliwia atakującemu „wielokrotnie logować się na konto z różnych lokalizacji”.

„AiTM nie łamie samego MFA – kradnie już uwierzytelnioną sesję (cookie/token), więc napastnik wchodzi do konta „za” zaporą MFA, bez potrzeby ponownego potwierdzenia” – stwierdzono na łamach portalu nflo.pl.

Poważne skutki

Urząd Ochrony Danych Osobowych wskazuje, że przejmowanie tokenów sesyjnych wiąże się z poważnymi skutkami w zakresie ochrony danych osobowych i cyberbezpieczeństwa. Mowa m.in. o masowym dostępie do korespondencji (w tym danych finansowych i identyfikacyjnych).

Należy również podkreślić, że wykrycie takiego incydentu może nie być łatwym zadaniem z racji na działanie w ramach aktywnej sesji. Tokeny często są wykradane z poniższych środowisk:

• poczty elektronicznej;
• przestrzeni współdzielenia plików;
• komunikatorów i narzędzi pracy zespołowej.

Przejęte konta są wykorzystywane także w atakach BEC (ang. Business E-mail Compromise), co pozwala cyberprzestępcom na podszywanie się pod ofiarę ataku oraz dalsze próby rozsyłania phishingowych wiadomości. Szerzej ten mechanizm opisywaliśmy w artykule dotyczącym przekierowań wiadomości mailowych w szkole oraz firmie.

Atakujący preferują konta, które zapewniają szeroki dostęp do zasobów organizacji.
Andrzej Zieliński, UODO

Minimalizacja ryzyka

Jedną z podstawowych technik ochrony przed kradzieżą tokenów sesyjnych jest wykorzystywanie metod dwuetapowego uwierzytelniania, które są odporne na phishing – mowa m.in. o kluczach sprzętowych (U2F). UODO rekomenduje ograniczenie stosowania kodu z SMS jako drugiego składnika logowania.

Andrzej Zieliński w rozmowie z naszym portalem wymienia konkretne środki pozwalające zminimalizować ryzyko:

• zawężenie dostępu do systemów do wybranych urządzeń;
• ograniczenie logowania z nietypowych lokalizacji;
• skrócenie czasu życia tokenów i sesji wraz z wygaszaniem jej po zamknięciu przeglądarki;
• stosowanie mechanizmów walidacji sesji (unieważniających te, które są wykorzystywane z innych urządzeń bądź lokalizacji);
• monitoring urządzeń w oparciu o MDM (zarządzanie urządzeniami końcowymi);
• korzystanie z XDR (rozszerzonych systemów wykrywania i reagowania) czy CASB (zabezpieczeń chmurowych);
• blokowanie automatycznego przyznawania zgód zewnętrznym aplikacjom;
• szkolenia z rozpoznawania phishingu (w tym AiTM);
• weryfikowanie wszelkich zmian danych finansowych (np. numeru konta) z wykorzystaniem innego kanału komunikacji.

Realne zagrożenie

Na początku maja informowaliśmy o kampanii wymierzonej w ponad 35 tys. kont, prowadzonej w oparciu o wspomnianą technikę Adversary-in-the-Middle (AiTM). Cyberprzestępcy podszywali się pod działy prawne firm. Na ich celowniku były głównie organizacje z USA i ich konta w ramach usług Microsoftu.

W drugiej połowie maja FBI wydało komunikat dotyczący platformy „Kali365”, która umożliwiała łatwe przeprowadzanie ataków phishingowych, skutkujących kradzieżami tokenów sesyjnych.

„Atakujący może teraz uzyskać dostęp do usług Microsoft 365, takich jak Outlook, Teams i OneDrive, bez konieczności podawania hasła lub wykonywania dodatkowych wyzwań uwierzytelniania wieloskładnikowego” – stwierdzono w opracowaniu.

Pragniemy podkreślić, że Urząd Ochrony Danych Osobowych również odnotował rosnącą liczbę przypadków kradzieży tokenów sesyjnych.

Widzimy, że dziś ważne staje się wykorzystanie tych metod 2FA (dwuetapowego uwierzytelniania), które nie uniemożliwiają wyłudzenia jednorazowego kodu (OTP).