6.4 KiB
Hackers can bypass Your MFA In 2026 (And How To Stop It)
URL: https://youtu.be/b_KDCLBVng0 Durată: 38:10 Data salvare: 2026-03-23 Tags: @work, #security, #mfa, #2fa, #threatlocker
TL;DR
Rob from ThreatLocker explică de ce MFA nu e suficient în 2026 și prezintă soluții avansate. Atacatorii pot evita MFA prin: SIM swapping (SMS), MFA bombing, session token stealing, și reverse proxy (Evil Jinx). Soluții: authenticator apps > SMS, biometric hardware keys (YubiKey), și cel mai sigur - ThreatLocker's Zero Trust Cloud Access care rutează traficul prin infra trust și blochează accesul pe bază de IP ranges + identitate.
Puncte Cheie
Vulnerabilități MFA
-
SMS 2FA - cel mai slab (dar mai bun decât nimic)
- SIM swapping simplu: cineva intră în Verizon/AT&T și pretinde că e tu
- Multe bănci încă folosesc doar SMS
-
MFA Bombing
- Atacatorul trimite sute/mii de request-uri MFA
- Speră că victima va aproba accidental sau din frustrare
-
Session Token/Cookie Stealing
- Chiar dacă ai MFA, token-ul din cookie poate fi furat
- PowerShell script simplu poate copia cookie-ul
- Atacatorul NU mai trebuie să facă login - doar mută cookie-ul
-
Evil Jinx (Reverse Proxy)
- Proxy între utilizator și site legitim
- URL arată aproape identic cu cel real
- User face login + MFA normal, dar proxy interceptează token-ul
Soluții Recomandate
Nivel 1: Authenticator Apps
- Google Authenticator, Microsoft Authenticator, Duo
- Mult mai bune decât SMS
- Rob folosește 3-4 apps diferite (work vs personal separation)
- Apple iCloud Passwords are 2FA built-in, dar Rob preferă separate
Nivel 2: Hardware Keys cu Biometrie
- YubiKey cu fingerprint = best available pentru user normal
- Problema vechilor YubiKey: lăsate permanent conectate = useless
- Noile modele biometrice rezolvă: ai 2FA + identity verification
Nivel 3: Zero Trust Cloud Access (ThreatLocker)
- Rutează tot traficul prin ThreatLocker infrastructure
- Office 365 (sau orice serviciu) locked down la ThreatLocker IP ranges
- Chiar dacă atacator fură cookie/token, nu poate accesa (wrong IP)
- Include Face ID pentru VPN connection
- Works pentru: O365, G Suite, Git, Atlassian, etc.
Nivel 4: Zero Trust Network Access
- NU mai deschizi porturi la internet (RDP, VPN, management ports)
- Dispozitivele comunică prin ThreatLocker agent
- Showdan search Orlando: 800-900 dispozitive cu RDP (3389) exposed = sitting ducks
Best Practices Parole
-
Critical accounts (2-3 max): NU în password manager
- ThreatLocker portal password
- Office 365/email password
- iCloud password
- Memorizate, nicăieri scrise
-
Restul: password manager cu parole lungi, complexe, unice
- Rob folosește iCloud Passwords pentru non-critical
- Separation: work stuff vs personal
-
Threat Model Matters
- Pentru bătrânei: caiet fizic cu parole > digital (mai greu să-i spargi casa)
- Pentru normal user: password manager + MFA apps
- Pentru paranoid: hardware keys + Zero Trust infra
Social Engineering
- Assume bad guys știu TOTUL despre tine: SSN, adresă, școală, copii, câine
- Rob's SSN leaked la 3 luni după mutare în US (data broker breach)
- Scam-uri cu voice cloning (UK): lifestyle survey → clone voice → bank fraud
- SIM swap attacks foarte comune la high-profile targets
ThreatLocker Philosophy
- Zero Trust = misnomer - trebuie să ai încredere în cineva
- 60,000+ organizații, 2000+ oameni la ZTW event
- Track record: 0 breaches din 2017
- Folosesc propriile tools intern (700 staff cu ThreatLocker agents)
- Danny forțat pe Rob să treacă de pe iMac Pro pe Windows (nu exista Mac agent atunci)
Quote-uri Notabile
"Assume everyone knows where you live. Assume everybody knows where you went to school because it's not that difficult to find out. So assume the bad guys know almost as much about you as you do and work backwards from that."
"It's all about your threat model, right? A little old lady might be better writing passwords in a physical book because how easy is it for a hacker to go to their house and break in versus just do it over the internet?"
"If you have some sort of two-factor authentication on an account, it makes it that much harder for the bad guys to actually get in."
"Every port that is open to the internet increases the attack surface of your environment. If you never have any ports open to the internet, your machine's effectively invisible to the outside world."
"The biggest compliment somebody can give me is to say what I do and what we do as a company helps them sleep at night because it means we're changing their lives for the better."
"You would be amazed at how simple it [session token stealing] is and it pretty much works for any website. We've done it for Git, Office 365 - it's unbelievably easy."
Idei Aplicabile
Pentru Marius/ROA
-
Security audit clienți
- Câți clienți ROA folosesc doar parole (fără MFA)?
- Câți au RDP/VPN expus la internet?
- Oferă consultanță: implementare MFA pentru acces ROA
-
ROA web interface security
- Implementează obligatoriu authenticator app 2FA (NU SMS)
- Consider IP whitelisting pentru clienți corporate
- Session token security: expire rapid, bind la IP/device
-
Infrastructure hardening
- Audit Proxmox/Docker exposed ports (vezi INFRASTRUCTURE.md)
- NU lăsa management ports deschise la internet
- Consider Tailscale (deja folosit) ca Zero Trust layer
-
Password policy pentru echipă
- Angajat nou + colegă: enforce password manager + 2FA
- Critical accounts (Oracle, server admin): memorize, NU în manager
- Separation: work vs personal credentials
-
Feature ROA: MFA enforcement dashboard
- Admin poate vedea ce utilizatori au/nu au MFA activat
- Alert când cineva se loghează de pe IP neobișnuit
- Session management: kill sessions remote
Content Ideas
- Video/articol: "De ce MFA nu te salvează de hackeri (și ce să faci)"
- Training clienți: Best practices securitate contabilitate (ANAF, e-Factura)
- Fișă tehnică: Cookie stealing demo (educational, pentru awareness)
Surse Related
- Have I Been Pwned: hibp.com
- Shodan: shodan.io (device exposure search)
- ThreatLocker: threatlocker.com
- YubiKey: yubico.com
Procesare completă: ✅ TL;DR + Puncte cheie + Quote-uri + Idei aplicabile