.
Esses tipos de ataques adversários no meio cresceram cada vez mais comuns. Em 2022, por exemplo, um único grupo o usou em uma série de ataques que roubaram mais de 10.000 credenciais de 137 organizações e levaram ao compromisso da rede do provedor de autenticação Twilio, entre outros.
Uma empresa que foi direcionada na campanha de ataque, mas não foi violada, foi a rede de entrega de conteúdo CloudFlare. A razão pela qual o ataque falhou foi porque ele usa o MFA com base em Carro da webo padrão que faz com que as passagens funcionem. Os serviços que usam WebAuthn são altamente resistentes a ataques adversários no meio, se não absolutamente imunes. Existem duas razões para isso.
Primeiro, as credenciais da WebAuthn estão criptograficamente ligadas ao URL que eles autenticam. No exemplo acima, as credenciais funcionariam apenas sobre https://accounts.google.com. Se uma vítima tentasse usar a credencial para fazer login em https: //accounts.google.com.evilproxy[.]com, o login falharia a cada vez.
Além disso, a autenticação baseada em WebAuthn deve ocorrer na ou nas proximidades do dispositivo que a vítima está usando para efetuar login na conta. Isso ocorre porque a credencial também está criptograficamente ligada a um dispositivo de vítima. Como a autenticação só pode acontecer no dispositivo da vítima, é impossível para um adversário no meio realmente usá -lo em um ataque de phishing ao seu próprio dispositivo.
Phishing surgiu como um dos problemas de segurança mais irritantes que as organizações, seus funcionários e seus usuários enfrentam. O MFA na forma de uma senha única, ou notificações tradicionais de push, definitivamente adiciona atrito ao processo de phishing, mas com ataques proxy-in-the-middle se tornando mais fácil e mais comum, a eficácia dessas formas de MFA está cada vez mais fácil de derrotar.
O MFA baseado em Webauthn vem de várias formas; Uma chave, conhecida como Passkey, armazenada em um telefone, computador, yubikey ou dongle semelhante é o exemplo mais comum. Agora, milhares de sites oferecem suporte ao WebAuthn, e é fácil para a maioria dos usuários finais se inscrever. Como nota lateral, o MFA baseado no U2F, o padrão antecessor do WebAuthn, também impede que os ataques adversários no meio de tenham sucesso, embora o último forneça flexibilidade e segurança adicional.
Publique atualizado para adicionar detalhes sobre passagens.
.
