ה-FBI מתריע: האקרים הצליחו לעקוף את האימות הרב-גורמי, MFA

חברות ברחבי העולם נאבקות להגן על מערכות ה-IT שלהן ועל הנתונים שברשותם מפני מתקפות בלתי פוסקות כנגד דוא"ל ארגוני. ההפסדים ממתקפות זדוניות אלו אף הולכים וגדלים, ובשנה החולפת עמדו על 26 מיליארד דולרים.

על הרקע הזה, ההתרעה האחרונה של ה-FBI מפתיעה. אחת ההגנות העיקריות נגד מתקפות סייבר מסוג זה היא אימות רב-גורמי, או אימות מרובה שלבים, MFA (ר"ת multi-factor authentication). אימות רב-גורמי הפך לנורמה, כדי למנוע ממשתמשים לא מורשים לגשת לנתונים ארגוניים באמצעות סיסמאות בלבד. זו טכנולוגיה אשר מאפשרת להגביר את האבטחה של ניהול חשבונות המשתמשים.

לעומת תצורת ההזדהות הרגילה, אשר מתבססת על הצורך של המשתמש לספק סיסמה, בתצורת עבודה של אימות מרובה שלבים נדרש המשתמש לספק שני מדדים שונים לשם ההזדהות. בשלב הראשון המשתמש נדרש להזין את סיסמתו האישית; בשלב השני, נשלח קוד אימות אל המשתמש, לקבל קוד נוסף ולהזין אותו, כדי להתחבר למערכת.

אולם כעת מודיעה הבולשת הפדרלית כי "צפינו בשחקני סייבר שעוקפים את האימות מרובה השלבים, באמצעות הנדסה חברתית נפוצה ומתקפות טכניות".

מומחי אבטחה ציינו כי מדובר בהודעה מפתיעה של ה-FBI, כי מתקפות על MFA הן מאד נדירות. על פי מיקרוסופט, הם חוסמים 99.9% מהפריצות בחשבונות הדואר בארגונים. "אימות מרובה שלבים הוא המינימום שאתה יכול לעשות אם אתה רציני בהגנה על החשבונות שלך", כתבה הענקית מרדמונד. למרות זאת, השימוש בטכניקת הגנה זו הוא עדיין נדיר באופן מדאיג, ואנשי מיקרוסופט רואים כי פחות מ-10% מהארגונים מטמיעים טכנולוגיה זו להגנה.

אך לפי ה-FBI, השימוש באימות מרובה שלבים עדיין אינו מספיק. אלא אם חברות מטמיעות במערך ההגנה שלהן "ביומטריה או מידע התנהגותי – כגון הזמן ביום, מיקום גיאוגרפי או כתובת IP, הרי ש"קיים סיכון שמתקפה יכולה להערים על המשתמש לחשוף את קוד האימות הרב-שלבי, או להשתמש בטכנולוגיות של יירוט, כדי ליצור קוד עבור ההאקרים".

מומחי אבטחת מידע העריכו כי הסיבה להתרעה המפתיעה של הבולשת, היא התחכום המואץ המופעל במניפולציות על עובדי ארגונים – הנדסה חברתית. הם ציינו כי בחלק הארי של המתקפות, תמיד היה מעורב הגורם האנושי, ש"סייע" לרעים – בזדון או בשוגג.