שמעתם על MFA Fatigue או התקפות הפצצה של הודעות? אם לא, כדאי לכם להמשיך לקרוא ו... למדו על הטקטיקה החדשה הזו וכיצד פושעי סייבר משתמשים בהבדרך זו, תדעו מה לעשות אם אתם עוברים את החוויה הלא נעימה של להיות קורבן להתקף עייפות MFA.
עייפות MFA: ממה מורכבת התקף עייפות MFA?
אימות רב-גורמי, או MFA, משמש בהצלחה לחיזוק האבטחה הדיגיטלית מזה זמן מה. התברר ש סיסמאות לבדן אינן מספקות עוד הגנה מספקתכעת חיוני להוסיף שכבה שנייה (ואפילו שלישית) של אימות: SMS, הודעת דחיפה או מפתח פיזי.
אגב, האם כבר הפעלת אימות רב-גורמי בחשבונות המשתמשים שלך? אם אינך מכיר את הנושא היטב, תוכל לקרוא את המאמר. כך פועל אימות דו-שלבי, אותו עליך להפעיל כעת כדי לשפר את האבטחה שלך.עם זאת, בעוד שמדובר באמצעי נוסף יעיל מאוד, משרד החוץ אינו חף מפגמיםזה התברר מאוד עם התקפות העייפות האחרונות של משרד החוץ, המכונות גם מתקפות הפצצה של הודעות.
מהי עייפות MFA? דמיינו את הסצנה הזו: מאוחר בלילה, ואתם נחים על הספה וצופים בתוכנית האהובה עליכם. פתאום, הסמארטפון שלכם מתחיל לרטוט בעקשנות. אתם מסתכלים על המסך ורואה התראה אחר התראה: «האם אתה מנסה להתחבר?"אתה מתעלם מהראשון והשני; אבל אותה הודעה כל הזמן מגיעה: עשרות מהן! ברגע של תסכול, רק כדי להפסיק את הדפיקות, אתה לוחץ על "אשר".
כיצד פועלת מתקפת ההתרעה
זה עתה חווית התקף של עייפות MFA. אבל איך זה אפשרי?
- איכשהו, פושע הסייבר השיג את שם המשתמש והסיסמה שלך.
- לאחר מכן מנסה להתחבר שוב ושוב בשירות כלשהו בו אתם משתמשים. באופן טבעי, מערכת האימות שולחת הודעת דחיפה לאפליקציית MFA שלכם.
- הבעיה מתעוררת כאשר התוקף, באמצעות כלי אוטומטי כלשהו, זה מייצר עשרות או אפילו מאות ניסיונות התחברות תוך דקות ספורות..
- זה גורם לטלפון הנייד שלך להיות מופגז בהודעות המבקשות אישור.
- בניסיון לעצור את מפולת ההתראות, אתה לוחץ על "לְאַשֵׁר" וזהו: התוקף משתלט על החשבון שלך.
למה זה כל כך יעיל?
המטרה של MFA Fatigue אינה להערים על הטכנולוגיה. אלא, היא שואפת ל... תשיש את הסבלנות ואת השכל הישר שלךבמחשבה שנייה, הגורם האנושי הוא החוליה החלשה ביותר בשרשרת שמגנה על האבטחה שלכם. זו הסיבה שמטר ההתראות נועד להציף אתכם, לבלבל אתכם, לגרום לכם להסס... עד שתלחצו על הכפתור הלא נכון. כל מה שצריך זה לחיצה אחת.
אחת הסיבות לכך שעייפות MFA כה יעילה היא ש אישור הודעת דחיפה הוא קל להפליא.זה דורש רק נגיעה אחת, ולעתים קרובות אפילו לא צריך לפתוח את נעילת הטלפון. לפעמים, זה יכול להיות הפתרון הפשוט ביותר להחזיר את המכשיר למצב רגיל.
והכל נהיה גרוע יותר אם התוקף יוצר איתך קשר ומתחזה למישהו מהתמיכה הטכנית.סביר להניח שהם יציעו את "עזרתם" כדי לנסות לפתור את "הבעיה", וידרשו מכם לאשר את ההודעה. זה היה המקרה במתקפה בשנת 2021 נגד מיקרוסופט, שבה הקבוצה התוקפת התחזתה למחלקת ה-IT כדי להונות את הקורבן.
עייפות MFA: התקפות הפצצה וכיצד לעצור אותן
אז, האם יש דרך להתגונן מפני עייפות של MFA? כן, למרבה המזל, ישנן שיטות עבודה מומלצות שעובדות נגד הפצצת ההתראות. הן לא דורשות להיפטר מאימות רב-גורמי, אלא... ליישם את זה בצורה חכמה יותרהאמצעים היעילים ביותר מפורטים להלן.
לעולם, לעולם אל תאשרו הודעה שלא ביקשתם.
לא משנה כמה אתם עייפים או מתוסכלים, אסור לך לאשר הודעה שלא ביקשת.זהו כלל הזהב למניעת כל ניסיון להערים עליכם עד כדי עייפות MFA. אם אינכם מנסים להתחבר לשירות, כל הודעת MFA נחשבת חשודה.
בהקשר זה, ראוי לזכור גם כי אף שירות לא ייצור איתך קשר כדי "לעזור" לך לפתור "בעיות"ופחות מכך אם אמצעי הקשר הוא רשת חברתית או אפליקציית מסרים, כמו וואטסאפ. יש לדווח על כל הודעה חשודה באופן מיידי למחלקת ה-IT או האבטחה של החברה או השירות שלכם.
הימנעו משימוש בהודעות דחיפה כשיטה היחידה ל-MFA
כן, התראות דחיפה הן נוחות, אבל הן גם פגיעות לסוגים כאלה של התקפות. עדיף להשתמש בשיטות חזקות יותר כחלק מאימות דו-שלבי. לדוגמה:
- קודי TOTP (סיסמה חד פעמית מבוססת זמן), אשר נוצרת על ידי יישומים כגון Google Authenticator או אוטי.
- מפתחות אבטחה פיזייםכמו יובי או מפתח אבטחה של טיטאן.
- אימות מבוסס מספריםבשיטה זו, עליך להזין מספר המופיע במסך ההתחברות, דבר המונע אישורים אוטומטיים.
הטמע מגבלות והתראות על ניסיונות אימות
חקור את מערכת האימות שבה אתה משתמש הפעלת מגבלות ניסיונות והתראותעקב מספר הגדל והולך של מקרים מדווחים של עייפות MFA, יותר ויותר מערכות MFA כוללות אפשרויות עבור:
- חסימה זמנית של ניסיונות לאחר מספר דחיות רצופות.
- לשלוח התראות לצוות האבטחה אם מזוהות מספר התראות בפרק זמן קצר.
- רישום וביקורת כל ניסיונות האימות לצורך ניתוח מאוחר יותר (היסטוריית גישה).
- דרוש גורם שני, חזק יותר אם ניסיון ההתחברות מגיע ממיקום יוצא דופן.
- חסום גישה באופן אוטומטי אם התנהגות המשתמש אינה תקינה.
בקיצור, הישארו ערניים! הפעלת אימות רב-גורמי נותרה אמצעי חיוני כדי להגן על האבטחה המקוונת שלך. אבל אל תחשוב שזה מחסום בלתי עביר. אם אתה יכול לגשת אליו, כל אחד יכול אם הוא יצליח להערים עליך. זו הסיבה שתוקפים יתקפו אותך: הם ינסו להרגיז אותך עד שתאפשר להם להיכנס.
אל תיפול למלכודת עייפות המשרד! אל תיכנעו להפצצת ההודעות. דווח על כל בקשה חשודה והפעל מגבלות והתראות נוספותבדרך זו, יהיה בלתי אפשרי שהתעקשותו של תוקף תשגע אתכם ותגרום לכם ללחוץ על הכפתור הלא נכון.
מאז שהייתי צעיר מאוד הייתי סקרן מאוד לגבי כל מה שקשור להתקדמות מדעית וטכנולוגית, במיוחד אלה שהופכים את החיים שלנו לקלים ומשעשעים יותר. אני אוהב להישאר מעודכן בחדשות ובטרנדים האחרונים, ולחלוק את החוויות, הדעות והעצות שלי לגבי הציוד והגאדג'טים שבהם אני משתמש. זה הוביל אותי להפוך לכותב אתרים לפני קצת יותר מחמש שנים, שהתמקד בעיקר במכשירי אנדרואיד ומערכות הפעלה של Windows. למדתי להסביר במילים פשוטות מה מסובך כדי שהקוראים שלי יוכלו להבין זאת בקלות.