एमएफए थकान: अधिसूचना बमबारी हमले और उन्हें कैसे रोकें

क्या आपने एमएफए थकान या अधिसूचना बमबारी हमलों के बारे में सुना है? अगर नहीं, तो पढ़ते रहें और इस नई रणनीति के बारे में जानें और जानें कि साइबर अपराधी इसका इस्तेमाल कैसे करते हैंइस तरह, आपको पता चल जाएगा कि यदि आप एमएफए थकान के हमले के शिकार होने के अप्रिय अनुभव से गुजरते हैं तो क्या करना है।

एमएफए थकान: एमएफए थकान हमले में क्या शामिल होता है?

पिछले कुछ समय से डिजिटल सुरक्षा को मज़बूत करने के लिए मल्टी-फैक्टर ऑथेंटिकेशन या MFA का सफलतापूर्वक इस्तेमाल किया जा रहा है। यह स्पष्ट हो गया है कि अब केवल पासवर्ड ही पर्याप्त सुरक्षा प्रदान नहीं करतेअब सत्यापन की दूसरी (और यहां तक ​​कि तीसरी) परत जोड़ना आवश्यक है: एक एसएमएस, एक पुश अधिसूचना या एक भौतिक कुंजी।

वैसे, क्या आपने अपने यूज़र अकाउंट पर मल्टी-फ़ैक्टर ऑथेंटिकेशन पहले ही चालू कर लिया है? अगर आप इस विषय से ज़्यादा परिचित नहीं हैं, तो आप यह लेख पढ़ सकते हैं। दो-चरणीय प्रमाणीकरण इस प्रकार काम करता है, जिसे आपको अपनी सुरक्षा में सुधार के लिए अभी सक्रिय कर लेना चाहिए।हालाँकि, यह एक बहुत ही प्रभावी अतिरिक्त उपाय है, एमएफए अचूक नहीं हैयह बात हाल ही में हुए एमएफए फटीग हमलों से बहुत स्पष्ट हो गई है, जिन्हें अधिसूचना बमबारी हमले भी कहा जाता है।

एमएफए थकान क्या है? कल्पना कीजिए: देर रात हो चुकी है, और आप सोफ़े पर आराम से अपना पसंदीदा शो देख रहे हैं। अचानक, आपका स्मार्टफ़ोन ज़ोर-ज़ोर से वाइब्रेट करने लगता है। आप स्क्रीन पर देखते हैं और एक के बाद एक नोटिफिकेशन देखते हैं: «क्या आप लॉग इन करने का प्रयास कर रहे हैं?"आप पहले और दूसरे को नज़रअंदाज़ करते हैं; लेकिन एक ही अधिसूचना बार-बार आती रहती है: दर्जनों! हताशा के क्षण में, बस हथौड़ा मारने की आवाज को रोकने के लिए, आप "अनुमोदन" दबाते हैं।

अधिसूचना बमबारी हमला कैसे काम करता है

आपने अभी-अभी एमएफए थकान का अनुभव किया है। लेकिन यह कैसे संभव है?

1. किसी तरह, साइबर अपराधी ने आपका उपयोगकर्ता नाम और पासवर्ड प्राप्त कर लिया।
2. फिर बार-बार लॉग इन करने का प्रयास करता है आपके द्वारा उपयोग की जाने वाली किसी सेवा पर। स्वाभाविक रूप से, प्रमाणीकरण प्रणाली आपके MFA ऐप पर एक पुश सूचना भेजती है।
3. समस्या तब उत्पन्न होती है जब हमलावर किसी स्वचालित उपकरण का उपयोग करके, यह कुछ ही मिनटों में दर्जनों या सैकड़ों लॉगिन प्रयास उत्पन्न करता है।.
4. इसके कारण आपके मोबाइल फोन पर अनुमोदन हेतु अनुरोध करने वाली सूचनाओं की बाढ़ आ जाती है।
5. सूचनाओं की बाढ़ को रोकने के प्रयास में, आप क्लिक करते हैं "मंज़ूरी देना" और बस, हमलावर आपके खाते पर नियंत्रण कर लेता है।

यह इतना प्रभावी क्यों है?

एमएफए थकान का लक्ष्य तकनीक को मात देना नहीं है। बल्कि, इसका उद्देश्य है अपना धैर्य और सामान्य ज्ञान समाप्त कर लेंदूसरी तरफ़, मानवीय पहलू आपकी सुरक्षा की कड़ी में सबसे कमज़ोर कड़ी है। इसीलिए सूचनाओं की बाढ़ आपको परेशान करने, भ्रमित करने, आपको झिझकाने के लिए डिज़ाइन की गई है... जब तक कि आप गलत बटन न दबा दें। बस एक क्लिक की ज़रूरत है।

एमएफए थकान इतनी प्रभावी होने का एक कारण यह है कि पुश नोटिफिकेशन को स्वीकृत करना अविश्वसनीय रूप से आसान है।इसके लिए बस एक टैप की ज़रूरत होती है, और अक्सर फ़ोन को अनलॉक करने की भी ज़रूरत नहीं होती। कई बार, डिवाइस को सामान्य स्थिति में लाने का यह सबसे आसान उपाय हो सकता है।

और यह सब और भी बदतर हो जाता है अगर हमलावर आपसे तकनीकी सहायता से जुड़े व्यक्ति होने का नाटक करके संपर्क करता है।वे संभवतः "समस्या" को हल करने के लिए अपनी "मदद" की पेशकश करेंगे, और आपसे अधिसूचना को मंज़ूरी देने का आग्रह करेंगे। 2021 में माइक्रोसॉफ्ट पर हुए एक हमले में ऐसा ही हुआ था, जहाँ हमलावर समूह ने पीड़ित को धोखा देने के लिए आईटी विभाग का रूप धारण किया था।

एमएफए थकान: अधिसूचना बमबारी हमले और उन्हें कैसे रोकें

तो, क्या MFA थकान से बचाव का कोई तरीका है? हाँ, सौभाग्य से, कुछ बेहतरीन तरीके हैं जो नोटिफिकेशन की भरमार से निपटने में कारगर हैं। इसके लिए मल्टी-फैक्टर ऑथेंटिकेशन से छुटकारा पाने की ज़रूरत नहीं है, बल्कि... इसे अधिक बुद्धिमानी से लागू करेंसबसे प्रभावी उपाय नीचे सूचीबद्ध हैं।

कभी भी किसी ऐसी अधिसूचना को स्वीकृत न करें जिसका आपने अनुरोध नहीं किया हो।

चाहे आप कितने भी थके या निराश हों, आपको कभी भी ऐसी अधिसूचना को स्वीकृत नहीं करना चाहिए जिसका आपने अनुरोध नहीं किया हो।यह आपको MFA थकान में डालने की किसी भी कोशिश को रोकने का सुनहरा नियम है। अगर आप किसी सेवा में लॉग इन करने की कोशिश नहीं कर रहे हैं, तो कोई भी MFA सूचना संदिग्ध है।

इस संबंध में यह भी याद रखना उचित है कि कोई भी सेवा आपकी "समस्याओं" को हल करने में "मदद" करने के लिए आपसे संपर्क नहीं करेगीऔर अगर संपर्क का माध्यम कोई सोशल नेटवर्क या व्हाट्सएप जैसा कोई मैसेजिंग ऐप है, तो यह और भी कम चिंता का विषय है। किसी भी संदिग्ध सूचना की सूचना तुरंत अपनी कंपनी या सेवा के आईटी या सुरक्षा विभाग को दें।

एमएफए की एकमात्र विधि के रूप में पुश नोटिफिकेशन का उपयोग करने से बचें

हां, पुश नोटिफिकेशन सुविधाजनक हैं, लेकिन वे इस प्रकार के हमलों के प्रति संवेदनशील भी हैं। अधिक मजबूत तरीकों का उपयोग करना बेहतर है दो-कारक प्रमाणीकरण के भाग के रूप में। उदाहरण के लिए:

• TOTP कोड (समय-आधारित वन-टाइम पासवर्ड), जो गूगल प्रमाणक या जैसे अनुप्रयोगों द्वारा उत्पन्न होते हैं औटी।
• भौतिक सुरक्षा कुंजीजैसा YubiKey या टाइटन सुरक्षा कुंजी.
• संख्या-आधारित प्रमाणीकरणइस विधि में, आपको लॉगिन स्क्रीन पर दिखाई देने वाला एक नंबर दर्ज करना होगा, जो स्वचालित अनुमोदन को रोकता है।

प्रमाणीकरण प्रयासों पर सीमाएँ और अलर्ट लागू करें

आपके द्वारा उपयोग की जाने वाली प्रमाणीकरण प्रणाली का अन्वेषण करें और प्रयास सीमाएँ और अलर्ट सक्रिय करेंएमएफए थकान के रिपोर्ट किए गए मामलों की बढ़ती संख्या के कारण, अधिक से अधिक एमएफए प्रणालियों में निम्नलिखित विकल्प शामिल किए जा रहे हैं:

• प्रयासों को अस्थायी रूप से अवरुद्ध करें कई बार लगातार अस्वीकृति के बाद।
• अलर्ट भेजें यदि कम समय में कई सूचनाएं प्राप्त होती हैं तो सुरक्षा टीम को सूचित किया जाएगा।
• पंजीकरण और ऑडिट बाद में विश्लेषण (पहुँच इतिहास) के लिए सभी प्रमाणीकरण प्रयास।
• एक दूसरे, मजबूत कारक की आवश्यकता है यदि लॉगिन प्रयास किसी असामान्य स्थान से शुरू होता है।
• पहुँच को स्वचालित रूप से अवरुद्ध करें यदि उपयोगकर्ता का व्यवहार असामान्य है।

संक्षेप में, सतर्क रहें! बहु-कारक प्रमाणीकरण सक्षम करना एक आवश्यक उपाय बना हुआ है आपकी ऑनलाइन सुरक्षा की रक्षा के लिए। लेकिन यह मत सोचिए कि यह कोई दुर्गम बाधा है। अगर आप इसे एक्सेस कर सकते हैं, तो कोई भी कर सकता है, अगर वे आपको धोखा देने में कामयाब हो जाएँ। इसीलिए हमलावर आपको निशाना बनाते हैं: वे आपको तब तक परेशान करने की कोशिश करेंगे जब तक आप उन्हें अंदर आने नहीं देते।

एमएफए थकान के जाल में मत फँसिए! नोटिफिकेशन की बौछार में मत पड़िए। किसी भी संदिग्ध अनुरोध की रिपोर्ट करें और अतिरिक्त सीमाएं और अलर्ट सक्रिय करेंइस तरह, किसी हमलावर की दृढ़ता के कारण आपको पागल कर पाना तथा गलत बटन दबाना असंभव हो जाएगा।