Għeja tal-MFA: Attakki ta' Bombardament ta' Notifiki u Kif Twaqqfuhom

Smajt bl-MFA Fatigue jew bl-attakki ta' bumbardament tan-notifiki? Jekk le, għandek tkompli taqra u Tgħallem dwar din it-tattika ġdida u kif jużawha ċ-ċiberkriminaliB'dan il-mod, tkun taf x'għandek tagħmel jekk tgħaddi mill-esperjenza spjaċevoli li tkun vittma ta' attakk ta' għeja tal-MFA.

Għeja tal-MFA: F'xiex jikkonsisti attakk ta' għeja tal-MFA?

Bombardament ta' notifika ta' għeja tal-MFA

L-awtentikazzjoni b'ħafna fatturi, jew MFA, ilha tintuża b'suċċess biex tissaħħaħ is-sigurtà diġitali għal xi żmien issa. Deher ċar li Il-passwords waħedhom m'għadhomx joffru protezzjoni suffiċjentiIssa huwa essenzjali li jiżdied it-tieni (u anke t-tielet) saff ta' verifika: SMS, notifika push jew ċavetta fiżika.

Mill-mod, diġà attivajt l-awtentikazzjoni b'ħafna fatturi fuq il-kontijiet tal-utenti tiegħek? Jekk m'intix familjari ħafna mas-suġġett, tista' taqra l-artiklu Hekk taħdem l-Awtentikazzjoni f'Żewġ Passi, li għandek tattiva issa biex ittejjeb is-sigurtà tiegħek.Madankollu, filwaqt li tirrappreżenta miżura żejda effettiva ħafna, L-MFA mhuwiex infallibbliDan sar ċar ħafna bl-attakki reċenti tal-MFA Fatigue, magħrufa wkoll bħala attakki ta' bombing ta' notifika.

X'inhi l-Għeja tal-MFA? Immaġina din ix-xena: Huwa tard bil-lejl, u int qed tirrilassa fuq is-sufan tara l-programm favorit tiegħek. F'daqqa waħda, l-ismartphone tiegħek jibda jivvibra b'mod insistenti. Tħares lejn l-iskrin u tara notifika waħda wara l-oħra: «Qed tipprova tidħol?"Int tinjora l-ewwel u t-tieni; imma L-istess notifika tibqa' dieħla: għexieren minnhom! F'mument ta' frustrazzjoni, sempliċement biex tieqaf it-taħbit, tagħfas "Approva".

Kontenut esklussiv - Ikklikkja Hawnhekk Hekk taħdem l-Awtentikazzjoni f'Żewġ Passi, li għandek tattiva issa biex ittejjeb is-sigurtà tiegħek.

Kif jaħdem l-attakk ta' bombing tan-notifika

Għadek kif esperjenzajt attakk ta' Għeja MFA. Imma kif huwa possibbli dan?

B'xi mod, iċ-ċiberkriminal kiseb l-username u l-password tiegħek.
Li jmiss, jipprova jidħol ripetutament fuq xi servizz li tuża. Naturalment, is-sistema ta' awtentikazzjoni tibgħat notifika push lill-app MFA tiegħek.
Il-problema tinqala’ meta l-attakkant, bl-użu ta’ xi għodda awtomatizzata, Jiġġenera għexieren jew saħansitra mijiet ta' tentattivi ta' login fi ftit minuti biss..
Dan iwassal biex il-mowbajl tiegħek jiġi bbumbardjat b'notifiki li jitolbu l-approvazzjoni.
Fi sforz biex twaqqaf il-valanga ta' notifiki, tikklikkja fuq "Approva" U dak hu: l-attakkant jieħu l-kontroll tal-kont tiegħek.

Għaliex huwa daqshekk effettiv?

Bombardament tan-notifiki

L-għan tal-MFA Fatigue mhuwiex li tegħleb it-teknoloġija b'intelliġenza kbira. Pjuttost, tfittex li eżawrixxi l-paċenzja u s-sens komun tiegħekMeta taħseb sew, il-fattur uman huwa l-iktar ħolqa dgħajfa fil-katina li tipproteġi s-sigurtà tiegħek. Huwa għalhekk li l-bombardament ta’ notifiki huwa mfassal biex jegħlbek, iħawdek, iġegħlek toqgħod taħsibha... sakemm tagħfas il-buttuna żbaljata. Kull ma tieħu hija klikk waħda.

Raġuni waħda għaliex l-Għeja tal-MFA hija daqshekk effettiva hija li L-approvazzjoni ta' notifika push hija faċli ħafna.Jeħtieġ biss tap wieħed, u ħafna drabi lanqas biss jeħtieġ li tiftaħ it-telefon. Xi drabi, jista' jkun l-aktar soluzzjoni sempliċi biex l-apparat jerġa' lura għan-normal.

U kollox imur għall-agħar jekk L-attakkant jikkuntattjak billi jippretendi li hu xi ħadd mill-appoġġ tekniku.X'aktarx li joffru l-"għajnuna" tagħhom biex jippruvaw isolvu l-"problema", u jħeġġuk tapprova n-notifika. Dan kien il-każ f'attakk tal-2021 kontra Microsoft, fejn il-grupp li attakka ppreżenta ruħu bħala d-dipartiment tal-IT biex iqarraq bil-vittma.

Kontenut esklussiv - Ikklikkja Hawnhekk X'inhu GrapheneOS u għaliex aktar u aktar esperti tal-privatezza qed jużawh?

Għeja tal-MFA: Attakki ta' Bombardament ta' Notifiki u Kif Twaqqfuhom

Notifiki

Allura, hemm xi mod kif wieħed jiddefendi ruħu kontra l-għeja tal-MFA? Iva, fortunatament, hemm l-aħjar prattiki li jaħdmu kontra l-bumbardament tan-notifiki. Ma jeħtiġux li titneħħa l-awtentikazzjoni b'ħafna fatturi, iżda pjuttost... implimentah b'mod aktar intelliġentiL-aktar miżuri effettivi huma elenkati hawn taħt.

Qatt, qatt m'għandek tapprova notifika li ma tlabtx int.

Ma jimpurtax kemm int għajjien jew frustrat, Qatt m'għandek tapprova notifika li ma tlabtx int.Din hija r-regola tad-deheb biex tevita kwalunkwe tentattiv li jqarraq bik u jwasslek għall-għeja tal-MFA. Jekk m'intix qed tipprova tidħol f'servizz, kwalunkwe notifika tal-MFA hija suspettuża.

F'dan ir-rigward, ta' min jiftakar ukoll li L-ebda servizz mhu se jikkuntattjak biex "jgħinek" issolvi l-"problemi"U saħansitra inqas jekk il-mezz ta' kuntatt huwa netwerk soċjali jew app ta' messaġġi, bħal WhatsApp. Kwalunkwe notifika suspettuża għandha tiġi rrappurtata immedjatament lid-dipartiment tal-IT jew tas-sigurtà tal-kumpanija jew tas-servizz tiegħek.

Evita li tuża notifikazzjonijiet push bħala l-uniku metodu ta' MFA

Iva, in-notifiki push huma konvenjenti, iżda huma wkoll vulnerabbli għal dawn it-tipi ta' attakki. Huwa preferibbli li jintużaw metodi aktar robusti bħala parti mill-awtentikazzjoni b'żewġ fatturi. Pereżempju:

Kodiċijiet TOTP (Password ta' Darba Waħda bbażata fuq il-Ħin), li huma ġġenerati minn applikazzjonijiet bħal Google Authenticator jew Auty.
Ċwievet tas-sigurtà fiżiċi, bħala YubiKey jew iċ-Ċavetta tas-Sigurtà Titan.
Awtentikazzjoni bbażata fuq in-numriB'dan il-metodu, trid iddaħħal numru li jidher fuq l-iskrin tal-login, li jipprevjeni approvazzjonijiet awtomatiċi.

Kontenut esklussiv - Ikklikkja Hawnhekk Kif tipproteġi lill-anzjani online mingħajr ma tikkomplika ħajjithom

Implimenta limiti u allerti dwar tentattivi ta' awtentikazzjoni

Awtentikatur tal-Microsoft

Esplora s-sistema ta' awtentikazzjoni li tuża u Attiva l-limiti tat-tentattivi u l-allertiMinħabba ż-żieda fin-numru ta' każijiet irrappurtati ta' għeja mill-MFA, aktar u aktar sistemi tal-MFA qed jinkludu għażliet għal:

Imblokka temporanjament it-tentattivi wara diversi ċaħdiet konsekuttivi.
ibgħat twissijiet lit-tim tas-sigurtà jekk jinstabu notifiki multipli f'perjodu qasir ta' żmien.
Reġistrazzjoni u awditjar it-tentattivi kollha ta' awtentikazzjoni għal analiżi aktar tard (storja tal-aċċess).
Jeħtieġ fattur ieħor, aktar b'saħħtu jekk it-tentattiv ta' login joriġina minn post mhux tas-soltu.
Imblokka l-aċċess awtomatikament jekk l-imġieba tal-utent tkun anormali.

Fil-qosor, ibqa' attent! L-abilitazzjoni tal-awtentikazzjoni b'ħafna fatturi tibqa' miżura essenzjali biex tipproteġi s-sigurtà online tiegħek. Imma taħsibx li hija barriera insormontabbli. Jekk tista' taċċessaha int, kulħadd jista' jekk jirnexxilhom iqarrqu bik. Huwa għalhekk li l-attakkanti se jimmirawk: jippruvaw idejquk sakemm tħallihom jidħlu.

Taqax fin-nassa tal-Għeja tal-MFA! Taqax taħt idejk għall-bumbardament tan-notifiki. Irrapporta kwalunkwe talba suspettuża u attiva limiti u allerti addizzjonaliB'dan il-mod, ikun impossibbli għall-persistenza ta' attakkant li ssuqk miġnun u ġġiegħlek tagħfas il-buttuna żbaljata.

Andrés Leal

Minn età żgħira, kont affaxxinat minn kull ma hu xjentifiku u teknoloġiku, speċjalment dawk l-avvanzi li jagħmlu ħajjitna aktar faċli u pjaċevoli. Inħobb nibqa' aġġornat dwar l-aħħar aħbarijiet u xejriet, u naqsam l-esperjenzi, l-opinjonijiet u l-pariri tiegħi dwar l-apparati u l-gadgets li nuża. Dan wassalni biex insir kittieb tal-web ftit aktar minn ħames snin ilu, fejn iffokajt primarjament fuq apparati Android u sistemi operattivi Windows. Tgħallimt nispjega kunċetti kumplessi f'termini sempliċi sabiex il-qarrejja tiegħi jkunu jistgħu jifhmuhom faċilment.