நீங்கள் MFA சோர்வு அல்லது அறிவிப்பு குண்டுவீச்சு தாக்குதல்கள் பற்றி கேள்விப்பட்டிருக்கிறீர்களா? இல்லையென்றால், நீங்கள் தொடர்ந்து படிக்க வேண்டும் மற்றும் இந்தப் புதிய தந்திரோபாயம் பற்றியும், சைபர் குற்றவாளிகள் அதை எவ்வாறு பயன்படுத்துகிறார்கள் என்பதையும் அறிந்து கொள்ளுங்கள்.இந்த வழியில், நீங்கள் ஒரு MFA சோர்வு தாக்குதலுக்கு ஆளாகும்போது விரும்பத்தகாத அனுபவத்தை அனுபவித்தால் என்ன செய்வது என்று உங்களுக்குத் தெரியும்.
MFA சோர்வு: MFA சோர்வு தாக்குதல் எதைக் கொண்டுள்ளது?
டிஜிட்டல் பாதுகாப்பை வலுப்படுத்த பல காரணி அங்கீகாரம் அல்லது MFA, சில காலமாக வெற்றிகரமாகப் பயன்படுத்தப்படுகிறது. அது தெளிவாகிவிட்டது கடவுச்சொற்கள் மட்டும் இனி போதுமான பாதுகாப்பை வழங்காது.இப்போது இரண்டாவது (மற்றும் மூன்றாவது) சரிபார்ப்பு அடுக்கைச் சேர்ப்பது அவசியம்: ஒரு SMS, ஒரு புஷ் அறிவிப்பு அல்லது ஒரு இயற்பியல் விசை.
சொல்லப்போனால், உங்கள் பயனர் கணக்குகளில் ஏற்கனவே பல காரணி அங்கீகாரத்தை இயக்கியுள்ளீர்களா? நீங்கள் தலைப்பைப் பற்றி அதிகம் அறிந்திருக்கவில்லை என்றால், நீங்கள் கட்டுரையைப் படிக்கலாம். இரண்டு-படி அங்கீகாரம் இப்படித்தான் செயல்படுகிறது, உங்கள் பாதுகாப்பை மேம்படுத்த இதை இப்போதே செயல்படுத்த வேண்டும்.இருப்பினும், இது மிகவும் பயனுள்ள கூடுதல் நடவடிக்கையைக் குறிக்கும் அதே வேளையில், வெளியுறவுத்துறை தவறு செய்ய முடியாதது அல்ல.சமீபத்திய MFA களைப்பு தாக்குதல்கள், அறிவிப்பு குண்டுவெடிப்பு தாக்குதல்கள் என்றும் அழைக்கப்படும், இது மிகவும் தெளிவாகியுள்ளது.
MFA சோர்வு என்றால் என்ன? இந்தக் காட்சியை கற்பனை செய்து பாருங்கள்: இரவு வெகுநேரம் ஆகிவிட்டது, நீங்கள் சோபாவில் உங்களுக்குப் பிடித்த நிகழ்ச்சியைப் பார்த்துக் கொண்டிருக்கிறீர்கள். திடீரென்று, உங்கள் ஸ்மார்ட்போன் தொடர்ந்து அதிர்வுறத் தொடங்குகிறது. நீங்கள் திரையைப் பார்த்து, ஒன்றன்பின் ஒன்றாக அறிவிப்பைப் பார்க்கிறீர்கள்: «நீங்கள் உள்நுழைய முயற்சிக்கிறீர்களா?"நீங்கள் முதலாவதையும் இரண்டாவதையும் புறக்கணிக்கிறீர்கள்; ஆனால் அதே அறிவிப்பு தொடர்ந்து வருகிறது: டஜன் கணக்கானவை! விரக்தியின் ஒரு கணத்தில், சுத்தியலை நிறுத்த, நீங்கள் "அனுமதி" என்பதை அழுத்துகிறீர்கள்.
அறிவிப்பு குண்டுவெடிப்பு தாக்குதல் எவ்வாறு செயல்படுகிறது
உங்களுக்கு MFA சோர்வு தாக்குதல் ஏற்பட்டுள்ளது. ஆனால் அது எப்படி சாத்தியமாகும்?
- எப்படியோ, சைபர் குற்றவாளி உங்கள் பயனர்பெயர் மற்றும் கடவுச்சொல்லைப் பெற்றுவிட்டார்.
- பிறகு மீண்டும் மீண்டும் உள்நுழைய முயற்சிக்கிறது நீங்கள் பயன்படுத்தும் சில சேவைகளில். இயற்கையாகவே, அங்கீகார அமைப்பு உங்கள் MFA பயன்பாட்டிற்கு ஒரு புஷ் அறிவிப்பை அனுப்புகிறது.
- பிரச்சனை எழுவது, தாக்குபவர், சில தானியங்கி கருவிகளைப் பயன்படுத்தும் போது, இது ஒரு சில நிமிடங்களில் டஜன் கணக்கான அல்லது நூற்றுக்கணக்கான உள்நுழைவு முயற்சிகளை உருவாக்குகிறது..
- இதன் விளைவாக, உங்கள் மொபைல் போன் ஒப்புதல் கோரும் அறிவிப்புகளால் நிரப்பப்படுகிறது.
- அறிவிப்புகளின் பெருவெள்ளத்தை நிறுத்தும் முயற்சியில், நீங்கள் "அங்கீகரி" அவ்வளவுதான்: தாக்குபவர் உங்கள் கணக்கைக் கட்டுப்படுத்துகிறார்.
இது ஏன் மிகவும் பயனுள்ளதாக இருக்கிறது?
MFA Fatigue-இன் குறிக்கோள் தொழில்நுட்பத்தை விஞ்சுவது அல்ல. மாறாக, அது உங்கள் பொறுமையையும் பொது அறிவையும் தீர்த்துக்கொள்ளுங்கள்.இரண்டாவதாக, மனித காரணிதான் உங்கள் பாதுகாப்பைப் பாதுகாக்கும் சங்கிலியில் உள்ள பலவீனமான இணைப்பு. அதனால்தான் அறிவிப்புகளின் வீச்சு உங்களை மூழ்கடித்து, குழப்பமடையச் செய்து, நீங்கள் தவறான பொத்தானை அழுத்தும் வரை தயங்கச் செய்ய வடிவமைக்கப்பட்டுள்ளது. இதற்கு ஒரே ஒரு கிளிக் போதும்.
MFA களைப்பு மிகவும் பயனுள்ளதாக இருப்பதற்கான ஒரு காரணம் என்னவென்றால் புஷ் அறிவிப்பை அங்கீகரிப்பது நம்பமுடியாத அளவிற்கு எளிதானது.இதற்கு ஒரே ஒரு தட்டல் மட்டுமே தேவைப்படும், மேலும் பெரும்பாலும் தொலைபேசியைத் திறக்க வேண்டிய அவசியமில்லை. சில சமயங்களில், சாதனத்தை இயல்பு நிலைக்குத் திரும்பப் பெறுவதற்கான எளிய தீர்வாக இது இருக்கலாம்.
மேலும் எல்லாம் மோசமாகிவிட்டால் தாக்குபவர் தொழில்நுட்ப ஆதரவிலிருந்து யாரோ ஒருவர் போல் நடித்து உங்களைத் தொடர்பு கொள்கிறார்."பிரச்சனையைத் தீர்க்க" அவர்கள் தங்கள் "உதவியை" வழங்குவார்கள், அறிவிப்பை அங்கீகரிக்கும்படி உங்களை வலியுறுத்துவார்கள். 2021 ஆம் ஆண்டு மைக்ரோசாப்ட் மீதான தாக்குதலில் இதுதான் நடந்தது, அங்கு தாக்குதல் குழு பாதிக்கப்பட்டவரை ஏமாற்ற ஐடி துறையைப் போல ஆள்மாறாட்டம் செய்தது.
MFA சோர்வு: அறிவிப்பு குண்டுவீச்சு தாக்குதல்கள் மற்றும் அவற்றை எவ்வாறு நிறுத்துவது
எனவே, MFA சோர்விலிருந்து பாதுகாக்க ஒரு வழி இருக்கிறதா? ஆம், அதிர்ஷ்டவசமாக, அறிவிப்பு தாக்குதலுக்கு எதிராக செயல்படும் சிறந்த நடைமுறைகள் உள்ளன. அவை பல காரணி அங்கீகாரத்தை அகற்ற வேண்டிய அவசியமில்லை, மாறாக... அதை இன்னும் புத்திசாலித்தனமாக செயல்படுத்துங்கள்.மிகவும் பயனுள்ள நடவடிக்கைகள் கீழே பட்டியலிடப்பட்டுள்ளன.
நீங்கள் கோராத அறிவிப்பை ஒருபோதும், ஒருபோதும் அங்கீகரிக்க வேண்டாம்.
நீங்கள் எவ்வளவு சோர்வாக இருந்தாலும் சரி, விரக்தியடைந்தாலும் சரி, நீங்கள் கோராத அறிவிப்பை ஒருபோதும் அங்கீகரிக்கக்கூடாது.உங்களை ஏமாற்றி MFA சோர்வடையச் செய்யும் எந்தவொரு முயற்சியையும் தடுப்பதற்கான தங்க விதி இது. நீங்கள் ஒரு சேவையில் உள்நுழைய முயற்சிக்கவில்லை என்றால், எந்த MFA அறிவிப்பும் சந்தேகத்திற்குரியது.
இது சம்பந்தமாக, அதையும் நினைவில் கொள்வது மதிப்புக்குரியது "பிரச்சனைகளை" தீர்க்க "உதவி" செய்ய எந்த சேவையும் உங்களைத் தொடர்பு கொள்ளாது.மேலும் தொடர்பு கொள்ளும் வழி சமூக வலைப்பின்னல் அல்லது வாட்ஸ்அப் போன்ற செய்தியிடல் செயலியாக இருந்தால் இன்னும் குறைவாகவே இருக்கும். சந்தேகத்திற்கிடமான எந்தவொரு அறிவிப்பையும் உடனடியாக உங்கள் நிறுவனம் அல்லது சேவையின் ஐடி அல்லது பாதுகாப்புத் துறைக்குத் தெரிவிக்க வேண்டும்.
MFA-வின் ஒரே முறையாக புஷ் அறிவிப்புகளைப் பயன்படுத்துவதைத் தவிர்க்கவும்.
ஆம், புஷ் அறிவிப்புகள் வசதியானவை, ஆனால் அவை இந்த வகையான தாக்குதல்களுக்கும் ஆளாகின்றன. மிகவும் வலுவான முறைகளைப் பயன்படுத்துவது விரும்பத்தக்கது. இரண்டு-காரணி அங்கீகாரத்தின் ஒரு பகுதியாக. எடுத்துக்காட்டாக:
- TOTP குறியீடுகள் (நேர அடிப்படையிலான ஒரு முறை கடவுச்சொல்), இவை Google Authenticator போன்ற பயன்பாடுகளால் உருவாக்கப்படுகின்றன அல்லது ஆத்தி.
- உடல் பாதுகாப்பு விசைகள்போன்ற YubiKey அல்லது டைட்டன் பாதுகாப்பு விசை.
- எண் அடிப்படையிலான அங்கீகாரம்இந்த முறையில், உள்நுழைவுத் திரையில் தோன்றும் எண்ணை நீங்கள் உள்ளிட வேண்டும், இது தானியங்கி ஒப்புதல்களைத் தடுக்கிறது.
அங்கீகார முயற்சிகளில் வரம்புகள் மற்றும் விழிப்பூட்டல்களைச் செயல்படுத்தவும்.
நீங்கள் பயன்படுத்தும் அங்கீகார முறையை ஆராயுங்கள் மற்றும் முயற்சி வரம்புகள் மற்றும் விழிப்பூட்டல்களைச் செயல்படுத்தவும்MFA சோர்வு தொடர்பான புகார்கள் அதிகரித்து வருவதால், மேலும் மேலும் MFA அமைப்புகள் பின்வருவனவற்றிற்கான விருப்பங்களை உள்ளடக்கியுள்ளன:
- முயற்சிகளைத் தற்காலிகமாகத் தடு பல தொடர்ச்சியான நிராகரிப்புகளுக்குப் பிறகு.
- விழிப்பூட்டல்களை அனுப்பு குறுகிய காலத்தில் பல அறிவிப்புகள் கண்டறியப்பட்டால் பாதுகாப்பு குழுவிற்கு.
- பதிவுசெய்து தணிக்கை செய்யுங்கள் பின்னர் பகுப்பாய்விற்கான அனைத்து அங்கீகார முயற்சிகளும் (அணுகல் வரலாறு).
- இரண்டாவது, வலுவான காரணி தேவை. உள்நுழைவு முயற்சி ஒரு வழக்கத்திற்கு மாறான இடத்திலிருந்து தோன்றினால்.
- அணுகலைத் தானாகத் தடு பயனரின் நடத்தை அசாதாரணமாக இருந்தால்.
சுருக்கமாக, எச்சரிக்கையாக இருங்கள்! பல காரணி அங்கீகாரத்தை இயக்குவது ஒரு அத்தியாவசிய நடவடிக்கையாக உள்ளது. உங்கள் ஆன்லைன் பாதுகாப்பைப் பாதுகாக்க. ஆனால் அது ஒரு கடக்க முடியாத தடையாக நினைக்காதீர்கள். நீங்கள் அதை அணுக முடிந்தால், உங்களை ஏமாற்ற முடிந்தால் யார் வேண்டுமானாலும் அதை அணுகலாம். அதனால்தான் தாக்குபவர்கள் உங்களை குறிவைப்பார்கள்: நீங்கள் அவர்களை உள்ளே அனுமதிக்கும் வரை அவர்கள் உங்களை தொந்தரவு செய்ய முயற்சிப்பார்கள்.
MFA சோர்வு வலையில் சிக்கிக் கொள்ளாதீர்கள்! அறிவிப்புத் தாக்குதலுக்கு அடிபணியாதீர்கள். ஏதேனும் சந்தேகத்திற்கிடமான கோரிக்கைகளைப் புகாரளித்து, கூடுதல் வரம்புகள் மற்றும் விழிப்பூட்டல்களைச் செயல்படுத்தவும்.இந்த வழியில், தாக்குபவர்களின் விடாமுயற்சி உங்களை பைத்தியமாக்குவதும், தவறான பொத்தானை அழுத்தச் செய்வதும் சாத்தியமற்றது.
நான் மிகவும் இளமையாக இருந்ததிலிருந்து, அறிவியல் மற்றும் தொழில்நுட்ப முன்னேற்றங்கள், குறிப்பாக நம் வாழ்க்கையை எளிதாக்கும் மற்றும் பொழுதுபோக்குடன் தொடர்புடைய அனைத்தையும் பற்றி நான் மிகவும் ஆர்வமாக இருந்தேன். சமீபத்திய செய்திகள் மற்றும் போக்குகளுடன் புதுப்பித்த நிலையில் இருப்பதையும், நான் பயன்படுத்தும் உபகரணங்கள் மற்றும் கேஜெட்டுகள் பற்றிய எனது அனுபவங்கள், கருத்துகள் மற்றும் ஆலோசனைகளைப் பகிர்ந்து கொள்வதையும் விரும்புகிறேன். இது ஐந்து ஆண்டுகளுக்கு முன்பு நான் ஒரு வலை எழுத்தாளராக மாற வழிவகுத்தது, முதன்மையாக ஆண்ட்ராய்டு சாதனங்கள் மற்றும் விண்டோஸ் இயக்க முறைமைகளில் கவனம் செலுத்தியது. என்ன சிக்கலானது என்பதை எளிய வார்த்தைகளில் விளக்கக் கற்றுக்கொண்டேன், அதனால் எனது வாசகர்கள் அதை எளிதாகப் புரிந்துகொள்ள முடியும்.