Уловка с использованием eIDaaS: Новая угроза фишинга

Цифровая проверка подлинности личности все чаще зависит от решений eIDaaS (электронные сервисы идентификации, аутентификации и авторизации). Хотя эти сервисы предлагают значительные преимущества в плане безопасности, появляется новая угроза: уловка с использованием eIDaaS. Эта изощренная тактика фишинга использует доверие пользователей к этим системам для кражи учетных данных и получения несанкционированного доступа. В этой статье рассматриваются механизмы уловки с использованием eIDaaS, ее потенциальное влияние и стратегии эффективного смягчения последствий.

Ключевой вывод 1: Уловка с использованием eIDaaS эксплуатирует присущее доверие к установленным поставщикам идентификационных данных, что делает ее более убедительной, чем традиционные фишинговые попытки.

Ключевой вывод 2: Традиционные меры защиты от фишинга часто неэффективны против уловки с использованием eIDaaS из-за ее изощренности и зависимости от легитимной инфраструктуры.

Ключевой вывод 3: Многоуровневый подход к безопасности, включая надежную аутентификацию, поведенческую биометрию и непрерывный мониторинг, имеет решающее значение для защиты от этой развивающейся угрозы.

Ключевой вывод 4: Проактивное обучение сотрудников распознаванию и сообщению о попытках уловки с использованием eIDaaS является важным компонентом комплексной стратегии безопасности.

Понимание уловки с использованием eIDaaS

Традиционный фишинг полагается на имитацию легитимных веб-сайтов или электронных писем, чтобы обмануть пользователей и заставить их ввести свои учетные данные. Уловка с использованием eIDaaS использует более коварный подход. Злоумышленники не обязательно стремятся воспроизвести весь процесс входа в систему. Вместо этого они сосредотачиваются на создании сценария, в котором пользователь ожидает запроса на аутентификацию eIDaaS – и затем перехватывают этот процесс. Это часто включает предварительное взлом устройства или сети пользователя для перехвата запроса на аутентификацию. Эта техника может включать спуфинг легитимных запросов или использование брутфорс-атак для угадывания кодов многофакторной аутентификации. Злоумышленник по сути ‘приманивает’ пользователя к запуску своей аутентификации eIDaaS, а затем захватывает последующий сеансовый токен.

Успех уловки с использованием eIDaaS зависит от нескольких факторов:

• Растущая зависимость от eIDaaS: По мере того, как все больше сервисов внедряют eIDaaS, пользователи привыкают к этим потокам аутентификации, что снижает их скептицизм.
• Изощренность злоумышленников: Злоумышленники становятся все более умелыми в эксплуатации уязвимостей в реализациях eIDaaS и перехвате запросов на аутентификацию.
• Недостаточная осведомленность: Многие пользователи не знают о рисках, связанных с уловкой с использованием eIDaaS, и не обладают знаниями для выявления и сообщения о подозрительной активности.

Жизненный цикл атаки: От приманки до взлома

Жизненный цикл атаки с использованием уловки eIDaaS обычно разворачивается в несколько этапов:

1. Начальное проникновение: Злоумышленник получает первоначальный доступ к устройству или сети жертвы, часто через вредоносное ПО, социальную инженерию или эксплуатацию существующих уязвимостей.
2. Приманка: Злоумышленник создает сценарий, который заставляет жертву инициировать аутентификацию eIDaaS. Это может включать в себя поддельную заявку, вредоносную ссылку или скомпрометированный веб-сайт.
3. Перехват: Злоумышленник перехватывает запрос на аутентификацию eIDaaS, часто используя атаку типа «человек посередине» (MITM).
4. Захват учетных данных: Злоумышленник захватывает токен аутентификации или файл cookie сеанса, сгенерированный поставщиком eIDaaS.
5. Боковое перемещение и утечка данных: Используя украденные учетные данные, злоумышленник получает доступ к конфиденциальным системам и данным.

Распространенным примером является отправка вредоносным актором фишингового письма, которое, по-видимому, исходит от легитимного сервиса, требующего аутентификации eIDaaS. Переход по ссылке не приводит к поддельной странице входа в систему, а скорее тонко заставляет поставщика eIDaaS жертвы инициировать запрос на аутентификацию – который злоумышленник может перехватить. Это особенно опасно, потому что пользователь видит законный брендинг и индикаторы безопасности, что повышает его доверие.

Почему традиционная защита от фишинга не работает

Традиционные решения для защиты от фишинга часто неэффективны против уловки с использованием eIDaaS, поскольку они в основном сосредоточены на выявлении и блокировании вредоносных веб-сайтов или электронных писем. Поскольку запрос на аутентификацию eIDaaS исходит из легитимного источника, эти решения часто обходятся. Кроме того, подглядывание через плечо или тактики социальной инженерии могут быть использованы для наблюдения или обмана пользователей, заставляя их инициировать процесс аутентификации, что делает техническую защиту менее эффективной. Зависимость от легитимной инфраструктуры значительно усложняет обнаружение.

Смягчение угрозы: Многоуровневый подход

Защита от уловки с использованием eIDaaS требует многоуровневого подхода к безопасности:

• Надежная аутентификация: Внедрите надежные методы аутентификации, такие как многофакторная аутентификация (MFA) с использованием параметров, устойчивых к фишингу, таких как FIDO2 security keys.
• Поведенческая биометрия: Используйте поведенческую биометрию для обнаружения аномальных шаблонов входа в систему и подозрительной активности.
• Непрерывный мониторинг: Отслеживайте активность пользователей на предмет признаков компрометации, таких как необычные места входа в систему или доступ к конфиденциальным данным.
• Обнаружение и реагирование на конечные точки (EDR): Используйте решения EDR для обнаружения и реагирования на вредоносную активность на устройствах пользователей.
• Обучение сотрудников: Обучите сотрудников рискам, связанным с уловкой с использованием eIDaaS, и тому, как выявлять и сообщать о подозрительной активности.
• Архитектура нулевого доверия: Примите архитектуру нулевого доверия, которая предполагает, что ни один пользователь или устройство не заслуживают доверия по умолчанию.

Как Didit помогает

Платформа проверки подлинности Didit разработана с учетом безопасности как основополагающего принципа. Наша платформа предоставляет несколько функций, которые могут помочь снизить риск уловки с использованием eIDaaS:

• Сигналы мошенничества в режиме реального времени: Didit анализирует более 200 сигналов мошенничества во время проверки, включая IP-адрес, данные устройства и поведенческие шаблоны, для выявления и пометки подозрительной активности.
• Обнаружение живости: Обнаружение живости Didit, сертифицированное iBeta Level 1, предотвращает использование злоумышленниками методов спуфинга для обхода аутентификации.
• Привязка устройств: Didit может привязать идентификаторы пользователей к конкретным устройствам, что затрудняет злоумышленникам повторное использование украденных учетных данных.
• Обнаружение аномалий: Алгоритмы машинного обучения Didit могут обнаруживать аномальные шаблоны входа в систему и помечать подозрительную активность для дальнейшего расследования.
• Многоразовое KYC: Используя многоразовое KYC, мы снижаем частоту запросов на аутентификацию, минимизируя возможности для злоумышленников использовать этот процесс.

Готовы начать?

Уловка с использованием eIDaaS представляет собой значительную и развивающуюся угрозу для организаций любого размера. Понимая жизненный цикл атаки и внедряя многоуровневый подход к безопасности, вы можете значительно снизить свой риск.

Закажите демонстрацию Didit сегодня, чтобы узнать, как наша платформа может помочь защитить вашу организацию от уловки с использованием eIDaaS и других возникающих угроз для идентификации. Изучите нашу техническую документацию, чтобы подробно понять наши функции безопасности.