Les entreprises qui protègent les comptes utilisateurs via l’authentification à deux facteurs (2FA) doivent prendre des mesures supplémentaires pour se défendre contre les proxys de phishing en temps réel, qui permettent aux criminels de contourner les mesures d’authentification multifacteur (MFA) et de prendre le contrôle des comptes. Heureusement, les clients de F5 BIG-IP Access Policy Manager (APM) ont la possibilité simple d’ajouter F5 Distributed Cloud Bot Defense pour arrêter efficacement ces proxys.
Une attaque par proxy de phishing en temps réel commence par un message de phishing envoyé par SMS, e-mail ou page Web. Le message de phishing contient un lien menant l'utilisateur vers un domaine contrôlé par l'attaquant et conçu pour transmettre toutes les requêtes à l' application cible. Du point de vue de l'utilisateur, tout semble légitime, sauf le nom de domaine, qui est généralement choisi pour ressembler étroitement au vrai.
Trompé par le proxy de phishing, l'utilisateur entre ses identifiants. Dans le cas d’une authentification à facteur unique, cette saisie d’informations d’identification suffit à l’attaquant pour accéder au compte. Dans le cas de 2FA, le proxy de phishing en temps réel envoie les informations d'identification à l' application légitime, déclenchant ainsi la demande 2FA. Malheureusement, l'utilisateur, croyant toujours qu'il interagit avec une application légitime, acceptera probablement la 2FA, acceptant toute demande faite.
Les proxys de phishing inversé peuvent compromettre presque toutes les formes de 2FA :
Nous devons nous attendre à ce que les attaques par proxy de phishing en temps réel augmentent, car les proxys de phishing en tant que service (PhaaS) — tels que EvilGinx, Muraena et Modlishka — facilitent considérablement la tâche des criminels en leur fournissant tout ce dont ils ont besoin pour lancer ces attaques :
Le trafic qui passe par un proxy de phishing présente des caractéristiques distinctives : Le nom de domaine ne correspondra pas à celui du site réel, le HTML et le JavaScript peuvent être modifiés pour s'adapter au changement de nom de domaine, et le timing et les signatures TLS peuvent être modifiés. En utilisant de nombreux signaux côté client et réseau identiques utilisés pour distinguer les robots des humains, Distributed Cloud Bot Defense peut détecter les anomalies qui distinguent les proxys de phishing en temps réel et ainsi résoudre l'une des menaces les plus courantes contre MFA.
BIG-IP APM est une solution de gestion des accès flexible et performante pour les applications et les API. Il fournit des services d'authentification aux applications en connectant les services d'identité d'entreprise , tels qu'Active Directory, les fournisseurs LDAP et RADIUS, à des protocoles d'authentification modernes, tels que SSO, la fédération d'accès, OAuth 2.0, SAML et OIDC.
BIG-IP APM inclut la prise en charge de l'authentification renforcée , fournissant un OTP 2FA basé sur SMS prêt à l'emploi. De plus, BIG-IP APM s'intègre à la plupart des principales solutions MFA, notamment celles de Cisco Duo, Okta, Azure AD et autres.
En raison du rôle central que joue BIG-IP APM dans le processus d'authentification de nombreuses entreprises, c'est un endroit idéal pour mettre en œuvre Distributed Cloud Bot Defense afin de protéger les utilisateurs contre les attaques de proxy de phishing en temps réel qui utilisent l'automatisation pour contourner les protections MFA.
Pour plus de détails techniques, consultez l' article F5 DevCentral sur la configuration de Distributed Cloud Bot Defense dans BIG-IP APM