Únava MFA: Útoky bombardováním oznámeními a jak je zastavit

Slyšeli jste už o únavě z MFA nebo bombardování oznámeními? Pokud ne, měli byste si to přečíst dál. Zjistěte více o této nové taktice a o tom, jak ji kyberzločinci používajíTakto budete vědět, co dělat, pokud projdete nepříjemnou zkušeností a stanete se obětí únavového záchvatu z víceúčelové fatální angiografie (MFA).

Únava z MFA: Z čeho se skládá únavový záchvat z MFA?

Vícefaktorové ověřování neboli MFA se již nějakou dobu úspěšně používá k posílení digitální bezpečnosti. Ukázalo se, že Samotná hesla již neposkytují dostatečnou ochranuNyní je nezbytné přidat druhou (a dokonce i třetí) vrstvu ověřování: SMS, push notifikaci nebo fyzický klíč.

Mimochodem, už jste si na svých uživatelských účtech povolili vícefaktorové ověřování? Pokud se v tématu moc nevyznáte, můžete si přečíst článek Takto funguje dvoufázové ověřování, které byste si měli nyní aktivovat pro zvýšení zabezpečení.I když to představuje velmi účinné doplňkové opatření, MFA není neomylnéTo se velmi jasně ukázalo u nedávných útoků typu MFA Fatigue, známých také jako útoky typu notification bombing.

Co je to únava z MFA? Představte si tuto scénu: Je pozdě v noci a vy relaxujete na gauči a sledujete svůj oblíbený pořad. Najednou váš chytrý telefon začne vytrvale vibrovat. Podíváte se na obrazovku a vidíte jedno oznámení za druhým: «Snažíte se přihlásit?„První a druhé ignorujete; ale Stále přichází stejné oznámení: desítky jich! V okamžiku frustrace, jen abyste zastavili bušení, stisknete „Schválit“.

Jak funguje útok notifikačním bombardováním

Právě jste zažili záchvat únavy z multifilamentální nálože. Ale jak je to možné?

1. Kyberzločinec nějakým způsobem získal vaše uživatelské jméno a heslo.
2. Pak opakovaně se pokouší přihlásit v nějaké službě, kterou používáte. Autentizační systém samozřejmě odešle push notifikaci do vaší aplikace MFA.
3. Problém nastává, když útočník pomocí nějakého automatizovaného nástroje, Vygeneruje desítky nebo dokonce stovky pokusů o přihlášení během několika minut..
4. To způsobuje, že váš mobilní telefon je bombardován oznámeními s žádostí o schválení.
5. Ve snaze zastavit lavinu oznámení kliknete na "Schvalovat" A to je vše: útočník se zmocní vašeho účtu.

Proč je to tak účinné?

Cílem MFA Fatigue není přechytračit technologie. Spíše se snaží vyčerpat svou trpělivost a zdravý rozumKdyž se nad tím zamyslíme, lidský faktor je nejslabším článkem v řetězci, který chrání vaši bezpečnost. Proto je záplava oznámení navržena tak, aby vás zahltila, zmátla, donutila vás váhat… dokud nestisknete špatné tlačítko. Stačí jedno kliknutí.

Jedním z důvodů, proč je únava z MFA tak účinná, je to, že Schválení push notifikace je neuvěřitelně snadné.Vyžaduje to pouze jedno klepnutí a často ani nevyžaduje odemknutí telefonu. Někdy to může být nejjednodušší řešení, jak zařízení vrátit do normálního stavu.

A všechno se zhorší, pokud Útočník vás kontaktuje a vydává se za někoho z technické podpory.Pravděpodobně vám nabídnou svou „pomoc“ při pokusu o vyřešení „problému“ a budou vás naléhat na schválení oznámení. Tak tomu bylo v případě útoku na Microsoft v roce 2021, kdy útočná skupina napodobovala IT oddělení, aby oběť oklamala.

Únava MFA: Útoky bombardováním oznámeními a jak je zastavit

Existuje tedy způsob, jak se bránit únavě z MFA? Ano, naštěstí existují osvědčené postupy, které fungují proti bombardování oznámeními. Nevyžadují zbavení se vícefaktorového ověřování, ale spíše... implementovat to inteligentnějiNejúčinnější opatření jsou uvedena níže.

Nikdy, ale nikdy neschvalujte oznámení, o které jste si nepožádali.

Nezáleží na tom, jak jsi unavený nebo frustrovaný, Nikdy byste neměli schvalovat oznámení, o které jste si nepožádali.Toto je zlaté pravidlo, jak zabránit jakémukoli pokusu o oklamání a vyčerpání MFA. Pokud se nepokoušíte přihlásit do služby, je jakékoli oznámení MFA podezřelé.

V tomto ohledu je také vhodné připomenout, že Žádná služba vás nebude kontaktovat, aby vám „pomohla“ vyřešit „problémy“.A tím méně, pokud je kontaktním prostředkem sociální síť nebo aplikace pro zasílání zpráv, jako je WhatsApp. Jakékoli podezřelé oznámení by mělo být okamžitě nahlášeno IT nebo bezpečnostnímu oddělení vaší společnosti nebo služby.

Nepoužívejte push notifikace jako jedinou metodu MFA.

Ano, push notifikace jsou pohodlné, ale jsou také zranitelné vůči těmto typům útoků. Je vhodnější použít robustnější metody jako součást dvoufaktorového ověřování. Například:

• Kódy TOTP (časově omezené jednorázové heslo), které generují aplikace jako Google Authenticator nebo Auty.
• Fyzické bezpečnostní klíčeJak YubiKey nebo bezpečnostní klíč Titan.
• Ověřování na základě číslaU této metody musíte zadat číslo, které se zobrazí na přihlašovací obrazovce, což zabraňuje automatickému schvalování.

Implementujte limity a upozornění na pokusy o ověření

Prozkoumejte ověřovací systém, který používáte, a Aktivace limitů pokusů a upozorněníVzhledem k rostoucímu počtu hlášených případů únavy MFA zahrnuje stále více systémů MFA možnosti pro:

• Dočasně blokovat pokusy po několika po sobě jdoucích odmítnutích.
• posílat upozornění bezpečnostnímu týmu, pokud je v krátkém časovém období zjištěno více oznámení.
• Registr a audit všechny pokusy o ověření pro pozdější analýzu (historie přístupů).
• Vyžadují druhý, silnější faktor pokud pokus o přihlášení pochází z neobvyklého místa.
• Automaticky blokovat přístup pokud je chování uživatele abnormální.

Zkrátka, buďte ostražití! Povolení vícefaktorového ověřování zůstává nezbytným opatřením aby chránil vaši online bezpečnost. Nemyslete si však, že je to nepřekonatelná bariéra. Pokud se k němu dostanete vy, může to udělat kdokoli, pokud se mu podaří vás oklamat. Proto se na vás útočníci zaměří: budou se vás snažit otravovat, dokud je dovnitř nepustíte.

Nenechte se chytit do pasti únavy z MFA! Nepodléhejte bombardování oznámeními. Nahlaste jakékoli podezřelé požadavky a aktivujte další limity a upozorněníTakto bude nemožné, aby vás útočníkova vytrvalost dohnala k šílenství a donutila vás stisknout špatné tlačítko.