Czytelnicy tacy jak ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską.
Rosnąca liczba przypadków kradzieży danych uwierzytelniających zmusiła firmy do wdrożenia uwierzytelniania wieloskładnikowego (MFA), aby chronić swoich pracowników przed poważnymi konsekwencjami kradzieży haseł. Ale hakerzy przeprowadzają teraz ataki zmęczeniowe MFA, aby obejść tę dodatkową warstwę ochrony.
Czym więc jest zmęczenie MFA? Jak działają te ataki? A co możesz zrobić, aby się chronić?
Co to jest atak zmęczenia MFA?
Atak zmęczenia MFA polega na nieustannym bombardowaniu właściciela konta powiadomieniami wypychanymi MFA, dopóki nie poślizgnie się lub nie zmęczy psychicznie i nie zatwierdzi żądania logowania.
Po zatwierdzeniu żądania usługi MFA hakerzy mogą uzyskać dostęp do konta użytkownika i wykorzystać je w dowolny sposób.
Głównym celem takiego ataku jest wysłanie niekończącej się fali powiadomień push MFA, aby wywołać poczucie zmęczenia u właściciela konta.
W odpowiednim czasie to zmęczenie usługi MFA powoduje, że właściciel konta zatwierdza żądanie logowania przypadkowo lub świadomie, aby zatrzymać powiadomienia wypychane usługi MFA.
Jak działa atak zmęczenia MFA
Z coraz większą liczbą aplikacji i usług przyjęcie uwierzytelniania wieloskładnikowego, zatwierdzanie powiadomień wypychanych MFA może stać się rutynowym zadaniem, gdy właściciele kont muszą zatwierdzać żądania MFA wiele razy dziennie. W końcu codzienne zatwierdzanie powiadomień wypychanych usługi MFA może sprawić, że właściciele kont będą nieuważni.
Co więcej, ciągłe bombardowanie powiadomieniami MFA może zmęczyć właścicieli kont, skłaniając ich do zatwierdzenia prośby o zalogowanie się, po prostu po to, by powiadomienia ich nie denerwowały.
Ponieważ właściciele kont często korzystają z aplikacji uwierzytelniających na swoich smartfonach, hakerzy mogą je atakować 24 godziny na dobę, 7 dni w tygodniu, aby je osłabić.
Co się dzieje w ataku zmęczenia MFA?
Pierwszym krokiem ataków zmęczenia usługi MFA jest uzyskanie poświadczeń logowania użytkownika konta. Jest wiele typowe sztuczki hakowania haseł, w tym phishing, spidering i ataki siłowe.
Gdy osoba atakująca uzyska dane logowania użytkownika, bombarduje go monitami o uwierzytelnienie wieloskładnikowe.
Atakujący mają nadzieję, że:
- Użytkownik przez pomyłkę zatwierdzi próbę logowania.
- Użytkownik ulegnie presji psychologicznej wywieranej przez niekończący się strumień żądań MFA.
Ataki zmęczeniowe MFA można łatwo zautomatyzować. I często, Inżynieria społeczna jest łączony z atakiem zmęczenia MFA, aby atak się powiódł.
Na przykład użytkownik docelowy otrzymuje wiadomość e-mail służącą do wyłudzania informacji z prośbą o zatwierdzenie żądania usługi MFA. Wiadomość e-mail typu phishing może również poinformować cel, że w nadchodzących dniach może otrzymać lawinę wielu żądań MFA, ponieważ wdrażany jest nowy system bezpieczeństwa. Wiadomość e-mail może dodatkowo informować, że żądania usługi MFA zostaną wstrzymane, gdy właściciel konta zatwierdzi próbę logowania.
Jak chronić się przed atakiem zmęczenia MFA
Oto kilka sposobów ochrony przed atakami zmęczenia usługi MFA.
1. Włącz dodatkowy kontekst
Włączenie dodatkowego kontekstu w żądaniach usługi MFA może zapewnić lepsze zabezpieczenia i chronić przed atakami zmęczenia usługi MFA.
Dodatkowy kontekst w żądaniu MFA pomaga zrozumieć, które konto wyzwoliło powiadomienie MFA, porę dnia kiedy podjęto próbę logowania, urządzenie użyte do próby logowania oraz lokalizację urządzenia, na którym miała miejsce próba logowania zrobiony.
Jeśli widzisz wiele żądań MFA uruchamianych z nieznanej lokalizacji lub urządzenia, gdy nie próbujesz zalogować się na konto, jest to znak, że ugrupowanie cyberprzestępcze próbuje Cię spamować. Powinieneś natychmiast zmienić hasło do tego konta i poinformuj swój dział IT, jeśli jest powiązany z siecią firmową.
Wiele aplikacji usługi MFA ma domyślnie włączoną tę funkcję. Jeśli Twoja aplikacja uwierzytelniająca nie pokazuje dodatkowego kontekstu, przejdź do ustawień aplikacji, aby sprawdzić, czy ma opcję zezwolenia na dodatkowy kontekst.
2. Zastosuj uwierzytelnianie oparte na ryzyku
Korzystanie z aplikacji uwierzytelniającej z funkcją uwierzytelniania opartego na ryzyku może pomóc w obronie przed atakami zmęczenia usługi MFA. Taka aplikacja może wykrywać i analizować sygnały o zagrożeniach na podstawie znanych wzorców ataków i odpowiednio dostosowywać wymagania bezpieczeństwa.
Znane wzorce zagrożeń obejmują między innymi nietypową lokalizację próby logowania, powtarzające się błędy logowania, nękanie w trybie push usługi MFA i wiele innych.
Sprawdź, czy Twoja aplikacja usługi MFA oferuje uwierzytelnianie oparte na ryzyku. Jeśli tak, włącz ochronę przed spamem wypychanym usługi MFA.
3. Zaimplementuj uwierzytelnianie FIDO2
przyjęcie FIDO2 forma uwierzytelnienia w dowolnej firmie może zapobiec atakom zmęczenia MFA.
FIDO2 zapewnia użytkownikom uwierzytelnianie bez hasła i uwierzytelnianie wieloskładnikowe oparte na danych biometrycznych. Ponieważ dane logowania nie opuszczają Twojego urządzenia, eliminuje to ryzyko kradzieży danych uwierzytelniających, dzięki czemu cyberprzestępcy nie mogą przeprowadzać spamu z powiadomieniami MFA.
4. Wyłącz powiadomienie push jako metodę weryfikacji
Funkcja powiadomień wypychanych usługi MFA została zaprojektowana z myślą o łatwości użytkowania. Właściciele kont muszą tylko kliknąć „Tak” lub „Zezwól”, aby zalogować się na swoje konta.
Ataki zmęczeniowe usługi MFA wykorzystują tę funkcję aplikacji uwierzytelniających. Wyłączenie tych prostych powiadomień wypychanych jako metody weryfikacji w aplikacji uwierzytelniającej to sprawdzony sposób na zwiększenie bezpieczeństwa usługi MFA.
Oto kilka metod, których można użyć do zweryfikowania żądania usługi MFA:
- Dopasowywanie liczb.
- Wyzwanie i odpowiedź.
- Hasło jednorazowe oparte na czasie.
Zaletą używania dopasowywania liczb lub hasła jednorazowego opartego na czasie jako metody weryfikacji jest to, że użytkownicy nie mogą przypadkowo zatwierdzić żądania usługi MFA; będą potrzebować informacji niezbędnych do zakończenia procesu weryfikacji.
Sprawdź swoją aplikację uwierzytelniającą, aby dowiedzieć się, której funkcji weryfikacji MFA możesz użyć zamiast prostych powiadomień push, zachęcających użytkowników do kliknięcia „Tak” lub „Zezwól” w celu zatwierdzenia prób logowania.
5. Ogranicz żądania uwierzytelnienia
Ograniczenie liczby żądań logowania w aplikacji uwierzytelniającej może pomóc w zapobieganiu szybkiemu bombardowaniu lub zmęczeniu usługi MFA. Ale nie wszystkie tokeny uwierzytelniające oferują tę funkcję.
Sprawdź, czy Twój uwierzytelniacz MFA umożliwia ograniczenie żądań uwierzytelnienia; po tym konto zostanie zablokowane.
6. Rozpowszechnianie wiedzy na temat bezpieczeństwa wokół usługi MFA
Jeśli prowadzisz firmę, najlepszym sposobem na udaremnienie ataków zmęczenia MFA jest szkolenie w zakresie świadomości bezpieczeństwa. Upewnij się, że Twoi pracownicy wiedzą, jak wygląda atak zmęczenia MFA i co robić, gdy już się pojawi. Powinny również być w stanie wykryć wiadomość e-mail phishingową z prośbą o zatwierdzenie żądań MFA.
Regularne szkolenie pracowników w zakresie najlepszych praktyk w zakresie cyberbezpieczeństwa znacznie przyczynia się do ochrony kont.
Nie daj się zepchnąć w błąd
Uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę bezpieczeństwa do Twoich kont. Chroniłoby to twoje konta, nawet jeśli cyberprzestępcy uzyskaliby dostęp do twoich danych logowania. Ale powinieneś uważać na atak zmęczenia MFA. To może być irytujące, ale nie poddawaj się.
