Լսե՞լ եք MFA-ի հոգնածության կամ ծանուցումների ռմբակոծման հարձակումների մասին։ Եթե ոչ, ապա պետք է շարունակեք կարդալ և Իմացեք այս նոր մարտավարության և այն կիբեռհանցագործների կողմից օգտագործելու մասինԱյսպիսով, դուք կիմանաք, թե ինչ անել, եթե անցնեք MFA հոգնածության նոպայի զոհ դառնալու տհաճ փորձի միջով:
MFA հոգնածություն. Ի՞նչից է բաղկացած MFA հոգնածության նոպան:
Բազմագործոն նույնականացումը, կամ MFA-ն, արդեն որոշ ժամանակ է, ինչ հաջողությամբ օգտագործվում է թվային անվտանգությունն ամրապնդելու համար։ Պարզ է դարձել, որ Միայն գաղտնաբառերը այլևս բավարար պաշտպանություն չեն ապահովումՀիմա անհրաժեշտ է ավելացնել ստուգման երկրորդ (և նույնիսկ երրորդ) շերտ՝ SMS, push ծանուցում կամ ֆիզիկական բանալի։
Ի դեպ, արդեն միացրե՞լ եք բազմագործոն նույնականացումը ձեր օգտատիրոջ հաշիվներում: Եթե թեմային լավ ծանոթ չեք, կարող եք կարդալ հոդվածը: Ահա թե ինչպես է գործում երկփուլային նույնականացումը, որը դուք պետք է ակտիվացնեք հիմա՝ ձեր անվտանգությունը բարելավելու համար։Այնուամենայնիվ, չնայած այն ներկայացնում է շատ արդյունավետ լրացուցիչ միջոց, ՀՀ ԱԳ նախարարությունը անսխալական չէՍա շատ հստակ դարձավ վերջերս MFA-ի հոգնածության հարձակումների ժամանակ, որոնք հայտնի են նաև որպես ծանուցման ռմբակոծություններ։
Ի՞նչ է MFA հոգնածությունը։ Պատկերացրեք այս տեսարանը. ուշ գիշեր է, և դուք հանգստանում եք բազմոցին՝ դիտելով ձեր սիրելի հաղորդումը։ Հանկարծ ձեր սմարթֆոնը սկսում է անընդհատ թրթռալ։ Դուք նայում եք էկրանին և տեսնում եք մեկը մյուսի հետևից ծանուցումներ. «Փորձո՞ւմ եք մուտք գործել։«Դուք անտեսում եք առաջինը և երկրորդը, բայց Նույն ծանուցումը անընդհատ գալիս է՝ տասնյակներով։ Հիասթափության պահին, պարզապես մուրճի հարվածը դադարեցնելու համար, դուք սեղմում եք «Հաստատել» կոճակը։
Ինչպես է գործում ծանուցման ռմբակոծման հարձակումը
Դուք հենց նոր MFA հոգնածության նոպա եք ունեցել։ Բայց ինչպե՞ս է դա հնարավոր։
- Ինչ-որ կերպ կիբեռհանցագործը ստացել է ձեր օգտանունն ու գաղտնաբառը։
- Հետո բազմիցս փորձում է մուտք գործել ձեր օգտագործած որոշ ծառայության վրա: Բնականաբար, նույնականացման համակարգը push ծանուցում է ուղարկում ձեր MFA հավելվածին:
- Խնդիրն առաջանում է, երբ հարձակվողը, օգտագործելով որևէ ավտոմատացված գործիք, Այն ընդամենը մի քանի րոպեում ստեղծում է տասնյակ կամ նույնիսկ հարյուրավոր մուտք գործելու փորձեր։.
- Սա ստիպում է ձեր բջջային հեռախոսը ռմբակոծվել հաստատում պահանջող ծանուցումներով։
- Ծանուցումների ձնահոսքը դադարեցնելու փորձի մեջ դուք սեղմում եք «Հաստատել» Եվ վերջ. հարձակվողը վերահսկողություն է ստանձնում ձեր հաշվի նկատմամբ։
Ինչո՞ւ է այն այդքան արդյունավետ։
MFA Fatigue-ի նպատակը տեխնոլոգիային գերազանցելը չէ։ Ավելի շուտ, այն ձգտում է սպառեք ձեր համբերությունն ու առողջ բանականությունըԵրկրորդ մտորման դեպքում, մարդկային գործոնը ձեր անվտանգությունը պաշտպանող շղթայի ամենաթույլ օղակն է: Ահա թե ինչու ծանուցումների հեղեղը նախատեսված է ձեզ ճնշելու, շփոթեցնելու, տատանվելու համար… մինչև սխալ կոճակը սեղմելը: Ամեն ինչ միայն մեկ սեղմում է:
ՄՖԱ հոգնածության այդքան արդյունավետության պատճառներից մեկն այն է, որ Push ծանուցումը հաստատելը աներևակայելի հեշտ է։Այն պահանջում է միայն մեկ հպում, և հաճախ նույնիսկ անհրաժեշտ չէ հեռախոսը ապակողպել: Երբեմն դա կարող է լինել սարքը բնականոն աշխատանքին վերադարձնելու ամենապարզ լուծումը:
Եվ ամեն ինչ ավելի վատ կլինի, եթե Հարձակվողը կապ է հաստատում ձեզ հետ՝ ձևացնելով, թե տեխնիկական աջակցության աշխատակից է։Նրանք, հավանաբար, կառաջարկեն իրենց «օգնությունը»՝ փորձելով լուծել «խնդիրը», կոչ անելով ձեզ հաստատել ծանուցումը: Այդպես էր 2021 թվականին Microsoft-ի դեմ հարձակման ժամանակ, երբ հարձակվող խումբը կեղծել էր IT բաժինը՝ զոհին խաբելու համար:
Արտաքին գործերի նախարարության հոգնածություն. ծանուցումների ռմբակոծության հարձակումներ և դրանց դադարեցման եղանակներ
Այսպիսով, կա՞ արդյոք MFA-ի հոգնածությունից պաշտպանվելու միջոց: Այո, բարեբախտաբար, կան լավագույն փորձեր, որոնք աշխատում են ծանուցումների ռմբակոծության դեմ: Դրանք չեն պահանջում ազատվել բազմագործոն նույնականացումից, այլ... ավելի խելացիորեն կիրառել այնՍտորև ներկայացված են ամենաարդյունավետ միջոցառումները։
Երբեք, երբեք մի հաստատեք այնպիսի ծանուցում, որը դուք չեք խնդրել։
Անկախ նրանից, թե որքան հոգնած կամ հիասթափված եք, Դուք երբեք չպետք է հաստատեք այնպիսի ծանուցում, որը դուք չեք խնդրել։Սա ոսկե կանոն է՝ կանխելու ձեզ MFA-ի հետ կապված հոգնածության մեջ գցելու ցանկացած փորձ։ Եթե դուք չեք փորձում մուտք գործել որևէ ծառայություն, MFA-ի ցանկացած ծանուցում կասկածելի է։
Այս առումով, արժե նաև հիշել, որ Ոչ մի ծառայություն չի կապվի ձեզ հետ՝ «խնդիրները» լուծելու համար «օգնելու» համարԵվ նույնիսկ ավելի քիչ, եթե կապի միջոցը սոցիալական ցանցն է կամ հաղորդագրությունների հավելվածը, ինչպիսին է WhatsApp-ը: Ցանկացած կասկածելի ծանուցման մասին պետք է անմիջապես հաղորդել ձեր ընկերության կամ ծառայության տեղեկատվական տեխնոլոգիաների կամ անվտանգության բաժին:
Խուսափեք push ծանուցումները որպես MFA-ի միակ մեթոդ օգտագործելուց
Այո, push ծանուցումները հարմար են, բայց դրանք նաև խոցելի են այս տեսակի հարձակումների նկատմամբ։ Ավելի լավ է օգտագործել ավելի հզոր մեթոդներ որպես երկփուլային նույնականացման մաս: Օրինակ՝
- TOTP կոդեր (ժամանակի վրա հիմնված միանգամյա գաղտնաբառ), որոնք ստեղծվում են այնպիսի ծրագրերի կողմից, ինչպիսիք են Google Authenticator-ը կամ Հաստատ։
- Ֆիզիկական անվտանգության բանալիներԻնչպիսիք են ՅուբիԿեյ կամ Titan անվտանգության բանալի։
- Թվերի վրա հիմնված նույնականացումԱյս մեթոդի դեպքում դուք պետք է մուտքագրեք մուտքի էկրանին հայտնվող համարը, ինչը կանխում է ավտոմատ հաստատումները։
Կիրառել սահմանափակումներ և զգուշացումներ նույնականացման փորձերի վերաբերյալ
Ուսումնասիրեք ձեր օգտագործած նույնականացման համակարգը և Ակտիվացրեք փորձերի սահմանափակումները և ծանուցումներըՄՖԱ հոգնածության մասին հաղորդված դեպքերի թվի աճի պատճառով, ավելի ու ավելի շատ ՄՖԱ համակարգեր ներառում են հետևյալ տարբերակները.
- Ժամանակավորապես արգելափակել փորձերը մի քանի անընդմեջ մերժումներից հետո։
- Ուղարկել ծանուցումներ անվտանգության թիմին, եթե կարճ ժամանակահատվածում հայտնաբերվեն բազմաթիվ ծանուցումներ։
- Գրանցվել և աուդիտ անցկացնել բոլոր նույնականացման փորձերը հետագա վերլուծության համար (մուտքի պատմություն):
- Պահանջվում է երկրորդ, ավելի ուժեղ գործոն եթե մուտք գործելու փորձը սկսվել է անսովոր վայրից։
- Ավտոմատ կերպով արգելափակել մուտքը եթե օգտագործողի վարքագիծը աննորմալ է։
Մի խոսքով՝ զգոն եղեք! Բազմագործոն նույնականացման հնարավորություն տալը մնում է կարևոր միջոցառում ձեր առցանց անվտանգությունը պաշտպանելու համար։ Բայց մի՛ կարծեք, որ դա անհաղթահարելի խոչընդոտ է։ Եթե դուք կարող եք մուտք գործել դրան, ապա ցանկացած մեկը կարող է, եթե կարողանա խաբել ձեզ։ Ահա թե ինչու հարձակվողները կթիրախավորեն ձեզ. նրանք կփորձեն նյարդայնացնել ձեզ, մինչև դուք նրանց ներս չթողնեք։
Մի՛ ընկեք MFA-ի հոգնածության թակարդը։ Մի՛ տրվեք ծանուցումների ռմբակոծությանը։ Հաղորդեք ցանկացած կասկածելի հարցման մասին և ակտիվացրեք լրացուցիչ սահմանափակումներ և ծանուցումներԱյսպիսով, անհնար կլինի, որ հարձակվողի համառությունը ձեզ խելագարեցնի և ստիպի սխալ կոճակը սեղմել։
Դեռ փոքրուց ինձ շատ է հետաքրքրել գիտական և տեխնոլոգիական առաջընթացների հետ կապված ամեն ինչ, հատկապես այն, ինչը հեշտացնում և զվարճացնում է մեր կյանքը: Ինձ դուր է գալիս տեղեկացված լինել վերջին նորություններին և միտումներին և կիսվել իմ փորձով, կարծիքներով և խորհուրդներով իմ օգտագործած սարքավորումների և հարմարանքների վերաբերյալ: Սա ստիպեց ինձ դառնալ վեբ գրող հինգ տարի առաջ՝ հիմնականում կենտրոնացած Android սարքերի և Windows օպերացիոն համակարգերի վրա: Ես սովորել եմ պարզ բառերով բացատրել, թե ինչն է բարդ, որպեսզի ընթերցողներս հեշտությամբ հասկանան այն։