websights Comment protéger votre MFA contre les attaques de phishing basées sur des outils de reverse-proxy - TrustBuilder

Vous cherchez inwebo.com? Vous êtes au bon endroit ! Pour en savoir plus, lisez notre article de blog

Rejoignez-nous en personne lors des prochains salons et conférences de l'industrie.

Rejoignez-nous pour un webinaire de 30 minutes conçu pour renforcer le processus d'intégration en ligne de vos identités externes !

Contenus

Comment protéger votre site MFA contre les attaques de phishing basées sur des outils de reverse-proxy ?

L'adoption croissante de l'authentification multifactorielle (MFA) a incité les acteurs du phishing à développer des solutions encore plus sophistiquées pour poursuivre leurs opérations malveillantes, y compris des outils de proxy inverse. Il manque cependant une information à souligner : ce ne sont pas seulement les solutions MFA , mais les jetons eux-mêmes qui n'ont pas les mêmes caractéristiques et le même niveau de protection contre les attaques d'hameçonnage.

phishing-mfa-cyberattack

Adoption croissante de l'authentification multifactorielle (MFA)

L'authentification multifactorielle (MFA ) n'a pas seulement gagné en popularité à la suite du passage rapide au travail à domicile. Elle a également été rendue obligatoire pour des produits spécifiques et dans certains secteurs en raison d'exigences réglementaires.

Les services financiers, par exemple, ont dû se conformer à la directive européenne PSD2 qui leur impose de mettre en place une authentification forte du client (SCA) pour l'accès aux services bancaires en ligne, les paiements et les transactions en utilisant les solutions MFA . Alors que Google a récemment décidé de mettre en place l'authentification à deux facteurs (2FA) sur tous les comptes Google, Salesforce vient de rendre MFA obligatoire pour accéder à ses produits.

Avec MFA, les utilisateurs finaux doivent fournir un deuxième facteur d'authentification autre que le traditionnel login+mot de passe. Ce deuxième facteur peut être un mot de passe à usage unique (OTP ) envoyé par SMS ou par courrier électronique, ou un jeton d'authentification (logiciel ou hardware token).

Les moyens utilisés par les auteurs d'hameçonnage pour contourner la loi MFA

Pour un auteur de phishing, cette étape supplémentaire avec MFA signifie que le vol des détails traditionnels du compte (c'est-à-dire le login+mot de passe) n'est plus suffisant pour prendre le contrôle.

Vous pouvez donc imaginer que cela a poussé les acteurs du phishing à développer des solutions encore plus sophistiquées pour trouver un moyen de contourner MFA et de poursuivre leurs opérations malveillantes à l'aide d'outils de proxy inverse.

Suite au récent rapport de Proofpoint, la rumeur se répand que le site MFA est menacé par les attaquants de phishing qui adoptent des solutions de proxy inverse.

Kit d'hameçonnage MFA

Comme l'indique le rapport de Proofpoint, les acteurs du phishing peuvent facilement acheter des kits MFA pour moins d'une tasse de café. Les chercheurs ont identifié différents types de kits : il peut s'agir d'un simple kit open-source avec un code lisible par l'homme et des fonctionnalités sans fioritures, ou d'un kit plus sophistiqué qui utilise plusieurs couches d'obscurcissement et de modules pour voler des noms d'utilisateur, des mots de passe, des jetons d'authentification multifactorielle, des numéros de sécurité sociale et des numéros de carte de crédit.

Outils de proxy inverse pour contourner MFA

Plus tard, les chercheurs de Proofpoint ont repéré un nouveau type de kit. Celui-ci utilise un proxy inverse transparent qui présente à la victime un site web ayant exactement la même apparence que le site légitime. En d'autres termes, ces nouveaux kits sont conçus pour présenter une version très fiable du site web original.

Le proxy inverse offre le même contenu sur une URL différente. Il change les URL en un clin d'œil et offre la même expérience utilisateur que l'application originale. Ainsi, l'utilisateur, ou la victime dans cette situation, a vraiment l'impression d'interagir avec l'application légitime.

Toute cette configuration est faite pour que la personne malveillante puisse intercepter tout élément partagé entre l'application et l'utilisateur, comme les informations d'identification, mais aussi les cookies de session. Une fois le cookie de session volé, l'attaquant peut l'injecter dans son propre navigateur pour voler la session de l'utilisateur et interagir avec l'application comme s'il était l'utilisateur légitime sans avoir besoin de s'authentifier à nouveau.

Ces nouvelles générations de kits de phishing utilisant le reverse proxy permettent de contourner la saisie du login/mot de passe mais aussi d'autres méthodes d'authentification comme le 2FA ou MFA. Ainsi, et selon les chercheurs de Proofpoint, ces kits vont connaître une légère augmentation et on peut s'attendre à ce qu'ils soient de plus en plus adoptés par les attaquants car l'adoption généralisée de MFA les oblige à s'adapter.

Deviceless MFA pour une protection totale contre les kits de phishing ciblant les enfants MFA

Ce ne sont pas seulement les solutions MFA , mais les jetons eux-mêmes qui n'ont pas les mêmes caractéristiques et le même niveau de protection contre les attaques par hameçonnage.

MFA, qu'est-ce que c'est exactement ?

Deviceless MFA est une technologie d'authentification multifactorielle qui permet aux utilisateurs finaux de s'authentifier et d'accéder à leurs applications, à leur réseau et à leurs données en utilisant n'importe quel navigateur, sans qu'il soit nécessaire de disposer d'une clé physique, d'un smartphone ou d'un ordinateur appartenant à l'entreprise, ou d'installer du matériel ou des logiciels spécifiques.

"Avec la solution Deviceless MFA, c'est le navigateur web qui devient le jeton de confiance".

Navigateur à jeton pour contrer les kits d'hameçonnage qui ciblent les MFA

Deviceless MFA (token browser) est le jeton le plus fiable pour se protéger des attaques par hameçonnage. C'est en effet le seul jeton qui peut vérifier que l'URL sur laquelle l'authentification est tentée est légitime, bloquant ainsi toute tentative de phishing effectuée sur une version de l'application légitime modifiée par le reverse proxy en utilisant une autre URL que l'URL légitime.

L'hameçonnage est l'une des méthodes les plus courantes de la cybercriminalité. Il s'agit d'une technique utilisée par les pirates pour obtenir des informations personnelles dans le but d'usurper une identité. Les cas les plus courants d'attaques par hameçonnage sont les suivants : (i) un courriel d'apparence légitime demandant des informations sur un compte bancaire ou des identifiants de connexion à des services financiers afin de voler de l'argent, et (ii) une tentative d'obtenir les identifiants de connexion d'un employé à des réseaux professionnels auxquels il pourrait avoir accès.

Les experts en informatique s'accordent tous sur la vulnérabilité des mots de passe et la cause principale de nombreuses attaques de phishing. Par conséquent, pour se protéger contre ce type d'attaque, il est nécessaire de renforcer l'accès aux données (réseau de l'entreprise, applications, compte bancaire, etc.) à l'aide d'une solution d'authentification multifactorielle. MFA est reconnu comme la mesure de sécurité la plus efficace contre les pirates et les attaques par hameçonnage.

Contrairement à ce que l'on croit souvent, tous les mécanismes d'authentification multifactorielle ne se valent pas et certains peuvent effectivement être compromis. On a récemment découvert qu'il existait des kits d'hameçonnage basés sur des outils de proxy inverse qui ciblent MFA. Par conséquent, pour se protéger efficacement contre les attaques par hameçonnage, le jeton le plus fiable est Deviceless MFA. Il s'agit d'une authentification basée sur le navigateur qui vérifie la légitimité des URL de connexion.