מתקפת פישינג מתוחכמת מצליחה לעקוף את מנגנוני האימות הכפול בלי לגנוב את הסיסמה שלכם. איך עובדת שיטת ה־Authorization Abuse (ניצול לרעה של הרשאות) ומה הארגון חייב לשנות כדי לא להישאר חשוף?
כך עובדת עקיפת האימות הכפול (MFA)
לא גניבת סיסמה – אלא קבלת "מפתח כניסה" רשמי מהמשתמש
מחקר חדש חושף קמפיין הונאה (Phishing) מתוחכם שמצליח לעקוף את מנגנוני האימות הכפול בסביבות העבודה של Microsoft 365. בניגוד למתקפות העבר שבהן ניסו "לדוג" את הסיסמה שלכם, כאן התוקפים גורמים למשתמשים לאשר מכשיר זדוני בתור מכשיר מורשה. הם עושים זאת באמצעות ניצול של מנגנון לגיטימי (OAuth Device Code) שנועד במקור לחיבור מכשירים חכמים לחשבון.
איך זה עובד? הקורבן מקבל מייל שנראה אמין (נושא של תשלום, הודעה קולית או תלוש שכר). המייל כולל קוד אישור וקישור שמוביל לעמוד הכניסה האמיתי של מיקרוסופט. המשתמש המיומן בודק את הכתובת, רואה שהיא תקינה ומזין את הקוד – אבל בכך הוא למעשה מאשר מכשיר שההאקר רשם מראש. ברגע זה נוצר "אסימון גישה" (Token) המאפשר לתוקף כניסה חופשית ל־Outlook, Teams ו־OneDrive, בלי שיצטרך להזין סיסמה או קוד אימות נוסף בעתיד.
למה זה מסוכן יותר מפישינג רגיל?
כשהאימות הכפול עובד – אבל זה פשוט לא מספיק
החידוש המדאיג כאן הוא שהמשתמש לא מגיע לאתר מזויף, אלא לאתר הרשמי והבטוח של ספק השירות. לכן גם עובדים מנוסים שעברו הדרכות מודעות לא תמיד מזהים את המלכודת. ברגע שהתוקף השיג את "אסימון הגישה", הוא הופך לבעל הבית בחשבון ויכול לפעול בשם המשתמש באין מפריע.
מומחים מציינים כי מתקפות כאלו הן תגובה ישירה של ההאקרים לחיזוק ההגנות בארגונים. בזמן שחברות השקיעו רבות בהגנה על הגישה של בני אדם (MFA), הן השאירו "דלת פתוחה" בניהול האינטגרציות והחיבורים האוטומטיים בין מערכות – ושם בדיוק התוקפים פועלים.
הכשל המבני החדש: אינטגרציות בין אפליקציות
האיום האמיתי מסתתר בחיבורי ה־SaaS
התוקפים מנצלים את העובדה שרוב הארגונים מחברים עשרות אפליקציות חיצוניות לסביבת העבודה שלהם, לעיתים עם הרשאות רחבות מדיי. גם לאחר שהצורך העסקי בחיבור מסוים מסתיים, הגישה שלו נשארת פעילה – ו"אסימוני הגישה" שלו ממשיכים לספק כניסה חופשית למידע הארגוני.
במצב כזה, גם מערך אימות כפול חזק לא ימנע את הגישה אם הושג "אסימון" במרמה. לכן יש צורך בניהול ובקרה של חיבורי המערכות באותה רמת קפדנות שבה אנו מנהלים משתמשים אנושיים.
המלצות מאת מומחי אבטחת המידע של IPV Security
- הגבלת אישורים: אפשרו רק לאפליקציות מאושרות מראש להתחבר למערכות הארגוניות (רשימה לבנה – Allowlist).
- חסימת חיבור מכשירים לא נחוץ: שקלו לבטל או להגביל את היכולת לחבר מכשירים באמצעות קוד (Device Code Flow) אם אין בו צורך עסקי ממשי.
- מיפוי חיבורים: בצעו סריקה תקופתית של כל האפליקציות החיצוניות שמחוברות למייל ולאחסון הענן שלכם.
- רענון הרשאות: בטלו גישה של אפליקציות או חיבורים שאינם נמצאים בשימוש פעיל.
- הדרכה מעודכנת: הסבירו לעובדים שגם עמוד כניסה רשמי ומוכר יכול להיות חלק ממלכודת, ושאין להזין קודי אישור שהגיעו במייל ללא תיאום מראש.
לסיכום,
המתקפה החדשה מוכיחה שהמאבק בין האקרים לארגונים עולה שלב: במקום לנסות ולפרוץ את מנגנוני ההגנה, התוקפים פשוט מנצלים את זרימת העבודה התקינה של המערכת. האימות הכפול (MFA) הוא עדיין כלי חיוני, אך הוא אינו פתרון מלא אם לא מנהלים את הגישה של האפליקציות ואת החיבורים החיצוניים.
עבור מנהלי אבטחת מידע, המסר ברור: אבטחה אינה מסתיימת בסיסמה. נדרש פיקוח הדוק על כל "צינורות המידע" והחיבורים האוטומטיים בארגון – ולא ההגנה החזקה ביותר שלכם תהפוך לנקודת הכניסה השקטה של התוקף הבא.
למידע נוסף: New phishing campaign tricks employees into bypassing Microsoft 365 MFA – Computerworld
מעוניינים במבדקי פישינג ובמגוון הרצאות להעלאת מודעות הארגון לאירועי סייבר? פנו למומחי איי פי וי סקיוריטי!
להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 21 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.
