Sécurisez votre MFA contre les proxys de phishing avec F5 BIG-IP APM et Distributed Cloud Bot Defense

Une attaque par proxy de phishing en temps réel commence par un message de phishing envoyé par SMS, e-mail ou page Web. Le message de phishing contient un lien menant l'utilisateur vers un domaine contrôlé par l'attaquant et conçu pour transmettre toutes les requêtes à l' application cible. Du point de vue de l'utilisateur, tout semble légitime, sauf le nom de domaine, qui est généralement choisi pour ressembler étroitement au vrai. 

Trompé par le proxy de phishing, l'utilisateur entre ses identifiants. Dans le cas d’une authentification à facteur unique, cette saisie d’informations d’identification suffit à l’attaquant pour accéder au compte. Dans le cas de 2FA, le proxy de phishing en temps réel envoie les informations d'identification à l' application légitime, déclenchant ainsi la demande 2FA. Malheureusement, l'utilisateur, croyant toujours qu'il interagit avec une application légitime, acceptera probablement la 2FA, acceptant toute demande faite. 

Les proxys de phishing inversé peuvent compromettre presque toutes les formes de 2FA :

• 2FA basé sur le service de messages courts (SMS). Dans une authentification à deux facteurs par SMS, le système d'authentification envoie un SMS à l'utilisateur avec un code d'accès à usage unique (OTP), que l'utilisateur saisit dans l'application. Lors d'une attaque par proxy de phishing, l'utilisateur saisit le code d'accès directement dans l'application malveillante, qui le transmet ensuite à l'application légitime, accordant ainsi l'accès au criminel. La même logique s’applique à la 2FA lorsque l’OTP est envoyé par e-mail. Si le mécanisme implique que l'utilisateur saisisse l'OTP dans une application, une attaque proxy de phishing en temps réel peut accéder à cet OTP.
• Jeton matériel 2FA. Les jetons matériels, qui sont des dispositifs physiques qui génèrent des clés à des intervalles de temps fixes suivant un algorithme cryptographique, remplissent le même objectif que les OTP dans la 2FA basée sur SMS. En regardant l'appareil, l'utilisateur tape la clé dans l' application. Lorsque trompé par un proxy de phishing en temps réel pour saisir cette clé dans une application malveillante, l'attaquant accède au compte. En un sens, la livraison du jeton par SMS, e-mail ou matériel ne fait aucune différence pour le proxy de phishing en temps réel. (En revanche, les clés matérielles FIDO2/U2F ne sont pas susceptibles d'être hameçonnées car le navigateur collabore avec la clé matérielle dans la liaison d'origine.)
• 2FA basée sur une application. Les applications d'authentification mobiles telles que Google Authenticator et Duo Mobile génèrent des jetons de la même manière que les appareils matériels. Là encore, les utilisateurs doivent saisir le jeton dans l'application. Si l'utilisateur est amené à saisir le jeton dans une application malveillante, l'attaquant accède à l' application réelle.
• 2FA basé sur le push. Certes, tout mécanisme 2FA qui implique que l’utilisateur saisisse un OTP dans une application peut être brisé en trompant l’utilisateur en le poussant à saisir l’OTP dans une application malveillante. Mais qu'en est-il du 2FA basé sur le push, qui ne nécessite pas que l'utilisateur saisisse un OTP dans une application? En revanche, dans un système basé sur le push, l' application, lors de la réception d'une demande de connexion, déclenche une demande à un système de notification push qui entraîne la réception par l'utilisateur d'une notification sur son appareil mobile. L'utilisateur n'a qu'à cliquer une fois pour accepter la demande. Une fois que cela se produit, le système de notification push effectue un appel API vers l' application indiquant que l'authentification push a réussi, et l' application termine le processus d'authentification, accordant l'accès à l'utilisateur. Dans ce scénario, le proxy de phishing ne reçoit jamais le jeton car il est transmis directement à l' application. Néanmoins, le criminel parvient toujours à accéder au compte car l' application finira par application fournir le jeton de session authentifié via le proxy, ce qui permet à l'attaquant de le capturer et de l'utiliser pour accéder à l' application en utilisant l'identité de la victime.

Nous devons nous attendre à ce que les attaques par proxy de phishing en temps réel augmentent, car les proxys de phishing en tant que service (PhaaS) — tels que EvilGinx, Muraena et Modlishka — facilitent considérablement la tâche des criminels en leur fournissant tout ce dont ils ont besoin pour lancer ces attaques :

• Modèles d'e-mails de phishing qui incitent les utilisateurs à visiter des sites malveillants
• Serveurs Web hébergés qui imitent les applications cibles
• Bases de données pour stocker les informations d'identification volées
• Surveillance en temps réel
• Des mécanismes défensifs pour contrecarrer les chercheurs en sécurité
• Documentation et service client

Le trafic qui passe par un proxy de phishing présente des caractéristiques distinctives : Le nom de domaine ne correspondra pas à celui du site réel, le HTML et le JavaScript peuvent être modifiés pour s'adapter au changement de nom de domaine, et le timing et les signatures TLS peuvent être modifiés. En utilisant de nombreux signaux côté client et réseau identiques utilisés pour distinguer les robots des humains, Distributed Cloud Bot Defense peut détecter les anomalies qui distinguent les proxys de phishing en temps réel et ainsi résoudre l'une des menaces les plus courantes contre MFA.

BIG-IP APM est une solution de gestion des accès flexible et performante pour les applications et les API. Il fournit des services d'authentification aux applications en connectant les services d'identité d'entreprise , tels qu'Active Directory, les fournisseurs LDAP et RADIUS, à des protocoles d'authentification modernes, tels que SSO, la fédération d'accès, OAuth 2.0, SAML et OIDC. 

BIG-IP APM inclut la prise en charge de l'authentification renforcée , fournissant un OTP 2FA basé sur SMS prêt à l'emploi. De plus, BIG-IP APM s'intègre à la plupart des principales solutions MFA, notamment celles de Cisco Duo, Okta, Azure AD et autres. 

En raison du rôle central que joue BIG-IP APM dans le processus d'authentification de nombreuses entreprises, c'est un endroit idéal pour mettre en œuvre Distributed Cloud Bot Defense afin de protéger les utilisateurs contre les attaques de proxy de phishing en temps réel qui utilisent l'automatisation pour contourner les protections MFA.