Únava MFA: Útoky bombardovania oznámeniami a ako ich zastaviť

Počuli ste už o únave z MFA alebo bombardovaní oznámeniami? Ak nie, mali by ste čítať ďalej a Získajte informácie o tejto novej taktike a o tom, ako ju používajú kyberzločinciTakto budete vedieť, čo robiť, ak zažijete nepríjemnú skúsenosť, že sa stanete obeťou únavového záchvatu z MFA.

Únava z MFA: Z čoho pozostáva záchvat únavy z MFA?

Bombardovanie s upozorneniami na únavu MFA

Viacfaktorová autentifikácia alebo MFA sa už nejaký čas úspešne používa na posilnenie digitálnej bezpečnosti. Ukázalo sa, že Samotné heslá už neposkytujú dostatočnú ochranuTeraz je nevyhnutné pridať druhú (a dokonca aj tretiu) vrstvu overenia: SMS, push notifikáciu alebo fyzický kľúč.

Mimochodom, už ste povolili viacfaktorové overovanie vo svojich používateľských účtoch? Ak sa s touto témou veľmi nevyznáte, môžete si prečítať článok Takto funguje dvojstupňové overenie, ktoré by ste si mali aktivovať teraz, aby ste zvýšili svoju bezpečnosť.Hoci však predstavuje veľmi účinné dodatočné opatrenie, MFA nie je neomylnéToto sa veľmi jasne ukázalo pri nedávnych útokoch typu MFA Fatigue, známych aj ako útoky typu notification bombing.

Čo je to únava z MFA? Predstavte si túto scénu: Je neskoro v noci a vy relaxujete na gauči a pozeráte svoj obľúbený program. Zrazu váš smartfón začne vytrvalo vibrovať. Pozriete sa na obrazovku a vidíte jedno upozornenie za druhým: «Snažíte sa prihlásiť?„Ignorujete prvé a druhé; ale Stále prichádza to isté oznámenie: desiatky z nich! V momente frustrácie, len aby ste zastavili búchanie, stlačíte tlačidlo „Schváliť“.

Exkluzívny obsah – kliknite sem Ako obmedziť prístup ku konkrétnym fotografiám z aplikácií v telefóne

Ako funguje útok notifikačným bombardovaním

Práve ste zažili záchvat únavy z MFA. Ale ako je to možné?

Kyberzločinec nejakým spôsobom získal vaše používateľské meno a heslo.
Potom opakovane sa pokúša prihlásiť v nejakej službe, ktorú používate. Autentifikačný systém prirodzene odošle push notifikáciu do vašej MFA aplikácie.
Problém nastáva, keď útočník pomocou nejakého automatizovaného nástroja, Vygeneruje desiatky alebo dokonca stovky pokusov o prihlásenie v priebehu niekoľkých minút..
To spôsobuje, že váš mobilný telefón je bombardovaný upozorneniami so žiadosťou o schválenie.
V snahe zastaviť lavínu oznámení kliknete na „Schváliť“ A to je všetko: útočník prevezme kontrolu nad vaším účtom.

Prečo je to také účinné?

Bombardovanie oznámeniami

Cieľom MFA Fatigue nie je prechytračiť technológie. Skôr sa snaží vyčerpajte svoju trpezlivosť a zdravý rozumPri ďalšom zamyslení je ľudský faktor najslabším článkom v reťazi, ktorý chráni vašu bezpečnosť. Preto je záplava oznámení navrhnutá tak, aby vás zahltila, zmiatla, prinútila vás váhať... až kým nestlačíte nesprávne tlačidlo. Stačí jedno kliknutie.

Jedným z dôvodov, prečo je únava MFA taká účinná, je to, že Schválenie push notifikácie je neuveriteľne jednoduché.Vyžaduje si to iba jedno klepnutie a často ani nevyžaduje odomknutie telefónu. Niekedy to môže byť najjednoduchšie riešenie na obnovenie normálnej prevádzky zariadenia.

A všetko sa zhorší, ak Útočník vás kontaktuje a vydáva sa za niekoho z technickej podpory.Pravdepodobne vám ponúknu svoju „pomoc“ pri riešení „problému“ a budú vás naliehať na schválenie oznámenia. Tak to bolo aj v prípade útoku na spoločnosť Microsoft v roku 2021, keď útočná skupina napodobňovala IT oddelenie, aby obeť oklamala.

Exkluzívny obsah – kliknite sem Meta chce, aby vaše súkromné fotografie vytvárali príbehy s umelou inteligenciou: kreatívny impulz alebo riziko pre súkromie?

Únava MFA: Útoky bombardovania oznámeniami a ako ich zastaviť

oznámenia

Existuje teda spôsob, ako sa brániť únave z MFA? Áno, našťastie existujú osvedčené postupy, ktoré fungujú proti bombardovaniu notifikáciami. Nevyžadujú si zbavenie sa viacfaktorovej autentifikácie, ale skôr... implementovať to inteligentnejšieNajúčinnejšie opatrenia sú uvedené nižšie.

Nikdy, ale nikdy neschvaľujte oznámenie, o ktoré ste nepožiadali.

Nezáleží na tom, aký si unavený alebo frustrovaný, Nikdy by ste nemali schvaľovať oznámenie, o ktoré ste nepožiadali.Toto je zlaté pravidlo, ako zabrániť akémukoľvek pokusu o oklamanie a vynútenie si funkcie MFA. Ak sa nepokúšate prihlásiť do služby, akékoľvek upozornenie MFA je podozrivé.

V tejto súvislosti je tiež vhodné pripomenúť, že Žiadna služba vás nebude kontaktovať, aby vám „pomohla“ vyriešiť „problémy“.A ešte menej, ak je kontaktným prostriedkom sociálna sieť alebo aplikácia na odosielanie správ, ako napríklad WhatsApp. Akékoľvek podozrivé oznámenie by ste mali okamžite nahlásiť IT alebo bezpečnostnému oddeleniu vašej spoločnosti alebo služby.

Nepoužívajte push notifikácie ako jedinú metódu MFA

Áno, push notifikácie sú pohodlné, ale sú tiež zraniteľné voči týmto typom útokov. Je lepšie použiť robustnejšie metódy ako súčasť dvojfaktorového overovania. Napríklad:

Kódy TOTP (časovo obmedzené jednorazové heslo), ktoré generujú aplikácie ako Google Authenticator alebo Auty.
Fyzické bezpečnostné kľúčeAko YubiKey alebo bezpečnostný kľúč Titan.
Autentifikácia na základe číslaPri tejto metóde musíte zadať číslo, ktoré sa zobrazí na prihlasovacej obrazovke, čo zabraňuje automatickému schvaľovaniu.

Exkluzívny obsah – kliknite sem Spoločnosť Samsung vymaže neaktívne účty po 30 dňoch: Čo by ste mali robiť, ak nechcete prísť o svoj účet.

Implementujte limity a upozornenia na pokusy o autentifikáciu

Preskúmajte overovací systém, ktorý používate, a Aktivujte limity pokusov a upozorneniaVzhľadom na rastúci počet hlásených prípadov únavy z MFA, čoraz viac systémov MFA zahŕňa možnosti pre:

Dočasne blokovať pokusy po niekoľkých po sebe nasledujúcich odmietnutiach.
posielať upozornenia bezpečnostnému tímu, ak sa v krátkom časovom období zistí viacero oznámení.
Register a audit všetky pokusy o autentifikáciu pre neskoršiu analýzu (história prístupov).
Vyžadujú si druhý, silnejší faktor ak pokus o prihlásenie pochádza z nezvyčajného miesta.
Automaticky blokovať prístup ak je správanie používateľa abnormálne.

Skrátka, buďte ostražití! Povolenie viacfaktorovej autentifikácie zostáva nevyhnutným opatrením na ochranu vašej online bezpečnosti. Nemyslite si však, že je to neprekonateľná bariéra. Ak sa k nemu dostanete vy, môže hocikto, ak sa mu podarí vás oklamať. Preto sa na vás útočníci zamerajú: budú sa vás snažiť otravovať, kým ich dnu nepustíte.

Nespadnite do pasce únavy z MFA! Nepodľahnite bombardovaniu oznámeniami. Nahláste všetky podozrivé požiadavky a aktivujte ďalšie limity a upozorneniaTakto bude nemožné, aby vás útočníkova vytrvalosť priviedla k šialenstvu a prinútila vás stlačiť nesprávne tlačidlo.

Andres Leal

Od malička som bol veľmi zvedavý na všetko, čo súvisí s vedeckým a technologickým pokrokom, najmä na tie, ktoré nám uľahčujú a robia život zábavnejším. Milujem byť informovaný o najnovších správach a trendoch a zdieľať svoje skúsenosti, názory a rady týkajúce sa vybavenia a gadgetov, ktoré používam. To ma priviedlo k tomu, že som sa pred viac ako piatimi rokmi stal webovým autorom, ktorý sa primárne zameriaval na zariadenia Android a operačné systémy Windows. Naučil som sa jednoduchými slovami vysvetliť, čo je zložité, aby to moji čitatelia ľahko pochopili.