Zmęczenie MFA: Ataki bombardowania powiadomieniami i jak im zapobiegać

Czy słyszałeś o MFA Fatigue lub atakach typu notification bombardment? Jeśli nie, powinieneś czytać dalej i… Dowiedz się więcej o tej nowej taktyce i o tym, jak wykorzystują ją cyberprzestępcyDzięki temu będziesz wiedział, co robić, jeśli staniesz się ofiarą nieprzyjemnego ataku zmęczenia MFA.

Zmęczenie MFA: Na czym polega atak zmęczenia MFA?

Bombardowanie powiadomieniami o zmęczeniu MFA

Uwierzytelnianie wieloskładnikowe, czyli MFA, jest od pewnego czasu z powodzeniem stosowane w celu wzmocnienia bezpieczeństwa cyfrowego. Stało się jasne, że Same hasła nie zapewniają już wystarczającej ochronyTeraz konieczne jest dodanie drugiej (a nawet trzeciej) warstwy weryfikacji: SMS-a, powiadomienia push lub klucza fizycznego.

A tak przy okazji, czy włączyłeś już uwierzytelnianie wieloskładnikowe na swoich kontach użytkowników? Jeśli nie jesteś zbyt obeznany w temacie, możesz przeczytać artykuł Tak działa uwierzytelnianie dwuetapowe, które powinieneś teraz aktywować, aby zwiększyć swoje bezpieczeństwo.Jednakże, chociaż stanowi to bardzo skuteczny dodatkowy środek, MFA nie jest nieomylneStało się to szczególnie widoczne w przypadku ostatnich ataków MFA Fatigue, znanych również jako ataki polegające na bombardowaniu powiadomieniami.

Czym jest zmęczenie MFA? Wyobraź sobie taką scenę: Jest późna noc, relaksujesz się na kanapie, oglądając swój ulubiony program. Nagle Twój smartfon zaczyna uporczywie wibrować. Patrzysz na ekran i widzisz jedno powiadomienie za drugim: «Czy próbujesz się zalogować?„Ignorujesz pierwsze i drugie, ale Ciągle przychodzą te same powiadomienia: dziesiątki! W chwili frustracji, żeby zatrzymać stukanie, naciskasz „Zatwierdź”.

Ekskluzywna zawartość — kliknij tutaj Jak ograniczyć dostęp do określonych zdjęć z aplikacji w telefonie

Jak działa atak typu notification bombing

Właśnie doświadczyłeś ataku zmęczenia MFA. Ale jak to możliwe?

W jakiś sposób cyberprzestępca zdobył Twoją nazwę użytkownika i hasło.
Następnie wielokrotnie próbuje się zalogować w usłudze, z której korzystasz. System uwierzytelniania wysyła oczywiście powiadomienie push do Twojej aplikacji MFA.
Problem pojawia się, gdy atakujący, używając jakiegoś zautomatyzowanego narzędzia, Generuje dziesiątki, a nawet setki prób logowania w ciągu zaledwie kilku minut..
W rezultacie Twój telefon komórkowy zostanie zasypany powiadomieniami z prośbą o zatwierdzenie.
Aby zatrzymać lawinę powiadomień, kliknij "Zatwierdzić" I to wszystko: atakujący przejmuje kontrolę nad Twoim kontem.

Dlaczego jest tak skuteczny?

Bombardowanie powiadomieniami

Celem MFA Fatigue nie jest przechytrzenie technologii. Raczej dąży do wyczerpać swoją cierpliwość i zdrowy rozsądekZ drugiej strony, czynnik ludzki jest najsłabszym ogniwem w łańcuchu chroniącym Twoje bezpieczeństwo. Dlatego lawina powiadomień ma Cię przytłoczyć, zdezorientować, zmusić do wahania… aż do naciśnięcia niewłaściwego przycisku. Wystarczy jedno kliknięcie.

Jednym z powodów, dla których zmęczenie MFA jest tak skuteczne, jest to, że Zatwierdzenie powiadomienia push jest niezwykle proste.Wystarczy jedno dotknięcie i często nie trzeba nawet odblokowywać telefonu. Czasami może to być najprostsze rozwiązanie, aby przywrócić urządzenie do normalnego działania.

A wszystko staje się gorsze, jeśli Atakujący kontaktuje się z Tobą podając się za pracownika pomocy technicznej.Prawdopodobnie zaoferują swoją „pomoc” w rozwiązaniu „problemu”, namawiając do zatwierdzenia powiadomienia. Tak było w przypadku ataku na Microsoft w 2021 roku, kiedy atakujący podszywali się pod dział IT, aby oszukać ofiarę.

Ekskluzywna zawartość — kliknij tutaj Meta chce, aby Twoje prywatne zdjęcia tworzyły historie obsługiwane przez sztuczną inteligencję: wzrost kreatywności czy zagrożenie dla prywatności?

Zmęczenie MFA: Ataki bombardowania powiadomieniami i jak im zapobiegać

Powiadomienia

Czy istnieje sposób na obronę przed zmęczeniem uwierzytelnianiem wieloskładnikowym? Tak, na szczęście istnieją sprawdzone metody, które chronią przed bombardowaniem powiadomieniami. Nie wymagają one rezygnacji z uwierzytelniania wieloskładnikowego, ale raczej… wdrożyć to bardziej inteligentniePoniżej przedstawiono najskuteczniejsze środki.

Nigdy nie wyrażaj zgody na powiadomienie, o które nie prosiłeś.

Nieważne jak bardzo jesteś zmęczony lub sfrustrowany, Nigdy nie należy zatwierdzać powiadomienia, o które się nie prosiło.To złota zasada, która zapobiega wszelkim próbom oszukania Cię i znudzenia się uwierzytelnianiem wieloskładnikowym (MFA). Jeśli nie próbujesz zalogować się do usługi, każde powiadomienie MFA jest podejrzane.

W tym kontekście warto również pamiętać, że Żadna usługa nie skontaktuje się z Tobą, aby „pomóc” Ci rozwiązać „problemy”Tym bardziej, jeśli środkiem kontaktu jest portal społecznościowy lub aplikacja do przesyłania wiadomości, taka jak WhatsApp. Każde podejrzane powiadomienie należy natychmiast zgłosić do działu IT lub bezpieczeństwa firmy lub usługi.

Unikaj używania powiadomień push jako jedynej metody uwierzytelniania wieloskładnikowego (MFA)

Tak, powiadomienia push są wygodne, ale są też podatne na tego typu ataki. Lepiej jest stosować bardziej solidne metody w ramach uwierzytelniania dwuskładnikowego. Na przykład:

Kody TOTP (jednorazowe hasło czasowe), które są generowane przez aplikacje takie jak Google Authenticator lub Autentyczność.
Fizyczne klucze bezpieczeństwaJak Yubikey lub Titan Security Key.
Uwierzytelnianie oparte na numerachKorzystając z tej metody, musisz wpisać numer, który pojawia się na ekranie logowania, co zapobiega automatycznemu zatwierdzeniu.

Ekskluzywna zawartość — kliknij tutaj Samsung usunie nieaktywne konta po 30 dniach: Co powinieneś zrobić, aby nie stracić swojego konta.

Wprowadź limity i alerty dotyczące prób uwierzytelnienia

Poznaj system uwierzytelniania, którego używasz i Aktywuj limity prób i alertyZe względu na rosnącą liczbę zgłaszanych przypadków zmęczenia MFA, coraz więcej systemów MFA obejmuje opcje dla:

Tymczasowo blokuj próby po kilku kolejnych odrzuceniach.
Wyślij alerty do zespołu ds. bezpieczeństwa, jeśli w krótkim okresie czasu zostanie wykrytych wiele powiadomień.
Rejestr i audyt wszystkie próby uwierzytelnienia w celu późniejszej analizy (historia dostępu).
Wymaga drugiego, silniejszego czynnika jeśli próba logowania pochodzi z nietypowej lokalizacji.
Zablokuj dostęp automatycznie jeśli zachowanie użytkownika jest nietypowe.

Krótko mówiąc, bądźcie czujni! Włączenie uwierzytelniania wieloskładnikowego pozostaje niezbędnym środkiem aby chronić swoje bezpieczeństwo online. Ale nie myśl, że to bariera nie do pokonania. Jeśli Ty możesz się do niej dostać, każdy może, jeśli tylko uda mu się Cię oszukać. Właśnie dlatego atakujący będą Cię atakować: będą próbowali Cię denerwować, dopóki im nie pozwolisz.

Nie wpadnij w pułapkę zmęczenia MFA! Nie daj się natłokowi powiadomień. Zgłaszaj wszelkie podejrzane prośby i aktywuj dodatkowe limity i alertyW ten sposób upór atakującego nie będzie w stanie doprowadzić cię do szaleństwa i zmusić do naciśnięcia niewłaściwego przycisku.

Andresa Leala

Od najmłodszych lat byłem bardzo ciekawy wszystkiego, co wiąże się z postępem naukowym i technologicznym, zwłaszcza tym, który czyni nasze życie łatwiejszym i przyjemniejszym. Uwielbiam być na bieżąco z najnowszymi wiadomościami i trendami, a także dzielić się swoimi doświadczeniami, opiniami i radami na temat sprzętu i gadżetów, których używam. To doprowadziło mnie do zostania pisarzem internetowym nieco ponad pięć lat temu, skupiającym się głównie na urządzeniach z Androidem i systemach operacyjnych Windows. Nauczyłem się wyjaśniać prostymi słowami to, co jest skomplikowane, aby moi czytelnicy mogli to łatwo zrozumieć.