Menerapkan autentikasi multi-faktor (MFA) adalah strategi yang sangat baik untuk memperkuat keamanan akun online Anda, tetapi serangan phishing yang canggih dapat melewati MFA. Jadi pertimbangkan untuk mengadopsi metode MFA tahan phishing yang kuat untuk melawan kampanye phishing modern.
Bagaimana MFA tradisional rentan terhadap serangan phishing? Apa itu solusi MFA tahan phishing, dan bagaimana cara mencegah serangan phishing?
Apa itu Otentikasi Multi-Faktor?
Seperti istilahnya, autentikasi multi-faktor mengharuskan Anda untuk menyajikan dua atau lebih faktor verifikasi untuk mengakses akun Anda.
Faktor dalam proses autentikasi adalah sarana untuk memverifikasi identitas Anda saat mencoba masuk.
Faktor yang paling umum adalah:
- Sesuatu yang Anda ketahui: kata sandi atau PIN yang Anda ingat
- Sesuatu yang Anda miliki: kunci USB aman atau smartphone yang Anda miliki
- Sesuatu yang Anda: pengenalan wajah atau sidik jari Anda
Autentikasi multifaktor menambahkan lapisan keamanan ekstra ke akun Anda. Ini seperti menambahkan kunci kedua atau ketiga ke loker Anda.
Dalam proses autentikasi multifaktor biasa, Anda akan memasukkan kata sandi atau PIN terlebih dahulu. Kemudian, Anda mungkin menerima faktor kedua di ponsel cerdas Anda. Faktor kedua ini bisa berupa SMS atau notifikasi pada aplikasi autentikator. Bergantung pada pengaturan MFA Anda, Anda mungkin perlu memverifikasi identitas Anda melalui biometrik.
Ada banyak alasan untuk menggunakan otentikasi multi-faktor, tetapi dapat menolak phishing sepenuhnya?
Sayangnya, jawabannya adalah "tidak".
Ancaman Dunia Maya terhadap Otentikasi Multi-Faktor
Meskipun metode MFA lebih aman daripada metode autentikasi faktor tunggal, pelaku ancaman dapat mengeksploitasinya menggunakan berbagai teknik.
Berikut adalah cara bagaimana peretas dapat mem-bypass MFA.
Serangan Brute-Force
Jika peretas memiliki kredensial login Anda dan Anda telah menetapkan PIN 4 digit untuk digunakan sebagai faktor kedua, mereka dapat melakukan serangan brute-force untuk menebak pin keamanan untuk mem-bypass multi-faktor autentikasi.
Peretasan SIM
Saat ini, pelaku ancaman menggunakan teknik seperti pertukaran SIM, kloning SIM, dan jacking SIM meretas kartu SIM Anda. Dan begitu mereka memiliki kendali atas SIM Anda, mereka dapat dengan mudah mencegat faktor kedua berbasis sms, mengorbankan mekanisme MFA Anda.
Serangan Kelelahan MFA
Dalam sebuah Serangan kelelahan MFA, seorang peretas membombardir Anda dengan rentetan pemberitahuan push hingga Anda menyerah. Setelah Anda menyetujui permintaan masuk, peretas dapat mengakses akun Anda.
Musuh di Tengah Serangan
Peretas dapat menggunakan kerangka kerja AiTM seperti Evilginx untuk mencegat kredensial masuk dan token faktor kedua. Kemudian mereka dapat masuk ke akun Anda dan melakukan hal buruk apa pun yang mereka sukai.
Serangan Pass-the-Cookie
Setelah Anda menyelesaikan proses autentikasi multifaktor, cookie browser dibuat dan disimpan untuk sesi Anda. Peretas dapat mengekstrak cookie ini dan menggunakannya untuk memulai sesi di browser lain di sistem yang berbeda.
Pengelabuan
Phishing, salah satunya taktik rekayasa sosial umum, sering digunakan untuk mengakses faktor kedua ketika pelaku ancaman sudah memiliki nama pengguna dan kata sandi Anda.
Misalnya, Anda menggunakan vendor perangkat lunak sebagai layanan (SaaS), dan kredensial login Anda disusupi. Seorang peretas akan menelepon (atau mengirim email) kepada Anda yang menyamar sebagai vendor SaaS Anda untuk meminta faktor kedua untuk verifikasi. Setelah Anda membagikan kode verifikasi, peretas dapat mengakses akun Anda. Dan mereka dapat mencuri atau mengenkripsi data yang memengaruhi Anda dan vendor Anda.
Hari-hari ini, hacker mempekerjakan teknik phishing tingkat lanjut. Jadi hati-hati terhadap serangan phishing.
Apa itu MFA Tahan-Phishing?
MFA tahan phishing tidak rentan terhadap semua jenis rekayasa sosial, termasuk serangan phishing, serangan isian kredensial, serangan Man-in-the-Middle, dan banyak lagi.
Karena manusia berada di pusat serangan rekayasa sosial, MFA yang tahan phishing menghilangkan elemen manusia dari proses autentikasi.
Untuk dianggap sebagai mekanisme MFA tahan phishing, pengautentikasi harus terikat secara kriptografis ke domain. Dan itu harus mengenali domain palsu yang dibuat oleh peretas.
Berikut ini adalah cara kerja teknologi MFA tahan phishing.
Buat Binding Kuat
Selain mendaftarkan autentikator Anda, Anda akan menyelesaikan pendaftaran kriptografi, termasuk pemeriksaan identitas, untuk membuat ikatan yang kuat antara pengautentikasi dan identitas Anda penyedia (IDP). Ini akan memungkinkan pengautentikasi Anda untuk mengidentifikasi situs web palsu.
Manfaatkan Kriptografi Asimetris
Pengikatan yang kuat antara dua pihak berdasarkan kriptografi asimetris (kriptografi kunci publik) menghilangkan kebutuhan akan rahasia bersama seperti kata sandi.
Untuk memulai sesi, kedua kunci (kunci publik dan kunci pribadi) akan diperlukan. Peretas tidak dapat mengautentikasi untuk masuk karena kunci pribadi akan disimpan dengan aman di kunci keamanan perangkat keras.
Tanggapi Hanya Permintaan Otentikasi yang Valid
MFA tahan phishing hanya menanggapi permintaan yang valid. Semua upaya meniru permintaan yang sah akan digagalkan.
Verifikasi Niat
Autentikasi MFA tahan phishing harus memvalidasi niat pengguna dengan meminta pengguna melakukan tindakan yang menunjukkan keterlibatan aktif pengguna untuk mengautentikasi permintaan masuk.
Mengapa Anda Harus Menerapkan MFA Tahan-Phishing
Mengadopsi MFA tahan phishing menawarkan banyak manfaat. Ini menghilangkan elemen manusia dari persamaan. Karena sistem dapat secara otomatis menemukan situs web palsu atau permintaan autentikasi yang tidak sah, sistem ini dapat mencegah semua jenis serangan phishing yang ditujukan untuk mengelabui pengguna agar memberikan kredensial login. Akibatnya, MFA yang tahan phishing dapat mencegah pelanggaran data di perusahaan Anda.
Terlebih lagi, MFA tahan phishing yang bagus, seperti metode autentikasi FIDO2 terbaru, meningkatkan pengalaman pengguna. Ini karena Anda dapat menggunakan biometrik atau kunci keamanan yang mudah diterapkan untuk mengakses akun Anda.
Last but not least, MFA tahan phishing meningkatkan keamanan akun dan perangkat Anda, sehingga meningkat padang rumput keamanan siber Di perusahaan anda.
Kantor Manajemen dan Anggaran AS (OMB) mengeluarkan Dokumen Federal Zero Trust Strategy, yang mewajibkan lembaga federal untuk hanya menggunakan MFA yang tahan phishing pada akhir tahun 2024.
Jadi, Anda dapat memahami bahwa MFA yang tahan phishing sangat penting untuk keamanan siber.
Bagaimana Menerapkan MFA Tahan-Phishing
Menurut Laporan Status Identitas Aman disiapkan oleh tim Auth0 Okta, serangan bypass MFA sedang meningkat.
Karena phishing adalah vektor serangan terkemuka dalam serangan berbasis identitas, penerapan autentikasi multi-faktor tahan phishing dapat membantu Anda mengamankan akun.
Otentikasi FIDO2/WebAuthn adalah metode otentikasi tahan phishing yang banyak digunakan. Ini memungkinkan Anda menggunakan perangkat umum untuk mengautentikasi di lingkungan seluler dan desktop.
Otentikasi FIDO2 menawarkan keamanan yang kuat melalui kredensial login kriptografis yang unik untuk setiap situs web. Dan kredensial masuk tidak pernah meninggalkan perangkat Anda.
Terlebih lagi, Anda dapat menggunakan fitur bawaan perangkat Anda, seperti pembaca sidik jari untuk membuka blokir kredensial login kriptografis.
Kamu bisa periksa produk FIDO2 untuk memilih produk yang tepat untuk menerapkan MFA tahan phishing.
Cara lain untuk mengimplementasikan MFA tahan phishing adalah dengan menggunakan solusi berbasis infrastruktur kunci publik (PKI). Kartu pintar PIV, kartu kredit, dan e-Passport menggunakan teknologi berbasis PKI ini.
MFA Tahan-Phishing Adalah Masa Depan
Serangan phishing meningkat, dan menerapkan hanya metode autentikasi multifaktor tradisional tidak menawarkan perlindungan dari kampanye phishing yang canggih. Jadi terapkan MFA tahan phishing untuk mencegah peretas mengambil alih akun Anda.
