מחקר: חמישית מבקשות האימות – הן זדוניות

זהויות דיגיטליות הפכו לשדה קרב בזירת הסייבר: חמישית מכלל בקשות האימות מגיעות ממערכות אוטומטיות זדוניות, כך לפי מחקר חדש של מעבדות F5.

חוקרי החברה ניתחו 320 מיליארד תעבורות של נתונים, שעברו במערכות של 159 ארגונים בין מרץ 2022 לאפריל 2023.

מהניתוח עולה כי כאשר ההתקפות אינן מיורטות, שיעור האוטומציה הממוצע, המהווה אינדיקטור להתקפות Credential stuffing, עמד על 19.4%. שיעור זה ירד ביותר משני שליש, ל-6%, כאשר יורטה הפעילות הזדונית באופן יזום. במתקפות "דחיסת הרשאות", ההאקרים מנצלים שמות משתמש וסיסמאות גנובים ממערכת אחת – כדי לפרוץ לאחרות, תוך שימוש בכלים אוטומטיים.

"זהויות דיגיטליות נמצאות בראש סדר העדיפות של התוקפים, והאיום הולך וגדל ככל שעולה השכיחות של זהויות לא אנושיות", אמר סנדר וינברג, מומחה לחקר איומים במעבדות F5.

יירוט המתקפות הללו משנה את התנהגות התוקפים וגורם לצמצום השימוש באוטומציה זדונית. בלא יירוט, חלו התקפות רבות יותר נגד ממשקי API של אפליקציות מובייל, לעומת ממשקי API של מערכות ווב. אם התבצע יירוט, הצטמצם מספר המתקפות נגד ממשקי API של אפליקציות מובייל, אך כתוצאה מכך – חלו יותר התקפות דרך ממשקי API של מערכות ווב.

השפעות היירוט – גם על תחכום ההתקפות

סורין בויאנגיו, ארכיטקט פתרונות לדרום אירופה ב-F5. צילום: יח"צ F5

ליירוט הייתה השפעה גם על תחכום ההתקפות. מול נקודות קצה לא מוגנות, 64.5% מהפעילויות הזדוניות כללו התקפות שסווגו כ"בסיסיות", כלומר לא היה בהן ניסיון לחקות התנהגות אנושית או לנטרל את הגנת הבוט. שיעור המתקפות הללו ירד באופן משמעותי ל-44% לאחר שהוקמו הגנות.

לעומת זאת, התקפות "ביניים", שעושות מאמצים מסוימים לשבש פתרונות אנטי-בוט, הפכו נפוצות הרבה יותר עם היירוטים, ועלו מ-12% ל-27% לאחר פריסת פתרונות ההגנה. התקפות מתקדמות, המשתמשות בכלים שיכולים לחקות גלישה של משתמש אנושי (כולל תנועת עכבר, הקשות וממדי מסך), עלו מ-20% ל-23%. 

"תוקפים רבים פשוט ממשיכים קדימה, גם כשההגנות מיושמות", אמר סורין בויאנגיו, ארכיטקט פתרונות לדרום אירופה ב-F5. "התוקפים שממשיכים לפעול נגד מטרות בעלות יכולות יירוט הם נחושים ומתוחכמים יותר, והם רותמים כלים המאפשרים להם לחקות התנהגות אנושית ועובדים קשה יותר כדי להסתיר את פעילותם". הוא ציין כי "מתקפה אחת חיקתה 513,000 אינטראקציות משתמש ייחודיות על פני 516,000 בקשות – כלומר התבצע מיחזור של תכונות ניתנות לזיהוי בפחות מ-1% מהמקרים. בהתקפות המתוחכמות ביותר, לעיתים נדרשת בדיקה ידנית כדי לזהות התנהגות זדונית וליצור חתימה חדשה".

For at least a decade, security professionals like us have told organizations to use multifactor authentication. Now, predictably, attackers have figured out several different ways to bypass most MFA. Learn how, and which kinds of MFA are still good: https://t.co/JpIhZzte1E pic.twitter.com/Dz07nFyxxc

— F5 Labs (@F5Labs) November 30, 2023

לפי חוקרי F5 Labs, "לארגונים יש הרבה פחות נראות מכפי שהם סבורים. עד 75% מהזהויות הדיגיטליות  שהיו בשימוש במהלך המתקפות – לא היו ידועות ככאלו שנגנבו. בנוסף, ארגונים עשויים לעקוב אחר התקפות Credential stuffing על ידי חיפוש אחר שיעור הצלחה נמוך במיוחד של בקשות אימות. התוקפים הסתגלו לכך עם חשבונות 'קנריים' (Canary), שניתן לגשת אליהם באופן רציף כדי להגביר מלאכותית את שיעור ההצלחה הכולל". כך, הסבירו החוקרים, "באחד המקרים, התקפת Credential stuffing נכנסה לאותו חשבון קנרי 37 מיליון פעמים באותו שבוע".

בפישינג – התוקפים מגבירים את המאמצים לעקיפת פתרונות הגנה 

בגזרת התקפות הפישינג, החוקרים מצאו עדויות ברורות כי התוקפים מגבירים את המאמצים לעקיפת פתרונות הגנה. השימוש המוגבר באימות רב-גורמי, MFA, הביא לעלייה במתקפות פישינג פרוקסי הפוך (Reverse proxy), במהלכן תוקפים מקימים דפי כניסה מזויפים – המעודדים משתמשים להזין בהם את האישורים שלהם.

בנוסף, תוקפים עושים יותר ויותר שימוש ביכולות התחמקות כמו AntiRed. זהו כלי Javascript שנועד להתגבר על ניתוח פישינג מבוסס דפדפן, כגון Google Safe Browsing  (המספק למשתמש הודעת דגל אדום כשהוא נתקל באתר לא בטוח). החוקרים ציינו כי "התחכום הגובר והירידה בעלויות של בינה מלאכותית מאפשרים למתקפות שכאלו להפוך לנפוצות ויעילות יותר. ארגונים צריכים להשתמש בפתרון אנטי-בוט כדי לצמצם אוטומציה זדונית כמו Credential stuffing. אפילו פתרונות אנטי-בוט פשוטים יכולים לצמצם את עיקר ההתקפות הלא מתוחכמת".

וינברג סיכם כי "ניתן לחזק אף יותר את ההגנה באמצעות שימוש בפתרונות MFA מבוססי קריפטוגרפיה, כגון אלה המבוססים על פרוקוטולי WebAUthn או FIDO2. בסופו של דבר, אין פתרון אחד למלחמה בהתקפות מבוססות זהות. על ארגונים לנטר ולזהות התקפות, לכמת את שיעור השגיאות של גילוין ולהתאים את עצמם לשינויים".