คุณเคยได้ยินเรื่อง MFA Fatigue หรือ Notification Bombardment Attack บ้างไหม? ถ้ายังไม่เคยได้ยิน คุณควรอ่านต่อ เรียนรู้เกี่ยวกับกลยุทธ์ใหม่นี้และวิธีการที่อาชญากรไซเบอร์ใช้มันวิธีนี้จะทำให้คุณรู้ว่าต้องทำอย่างไรหากคุณประสบกับประสบการณ์ที่ไม่พึงประสงค์จากการตกเป็นเหยื่อของการโจมตีจากความเหนื่อยล้าของ MFA
MFA Fatigue: การโจมตีจาก MFA Fatigue ประกอบด้วยอะไรบ้าง?
การยืนยันตัวตนแบบหลายปัจจัย หรือ MFA ถูกนำมาใช้อย่างประสบความสำเร็จเพื่อเสริมสร้างความปลอดภัยทางดิจิทัลมาระยะหนึ่งแล้ว เป็นที่ชัดเจนว่า รหัสผ่านเพียงอย่างเดียวไม่สามารถให้การป้องกันที่เพียงพออีกต่อไปตอนนี้ จำเป็นต้องเพิ่มชั้นการตรวจสอบที่สอง (และแม้กระทั่งชั้นที่สาม): SMS, การแจ้งเตือนแบบพุช หรือคีย์ทางกายภาพ
อ้อ แล้วคุณได้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยในบัญชีผู้ใช้ของคุณแล้วหรือยัง? ถ้าคุณยังไม่คุ้นเคยกับหัวข้อนี้ คุณสามารถอ่านบทความนี้ได้ วิธีการทำงานของการยืนยันตัวตนแบบสองขั้นตอนซึ่งคุณควรเปิดใช้งานทันทีเพื่อปรับปรุงความปลอดภัยของคุณอย่างไรก็ตาม แม้ว่าจะถือเป็นมาตรการเสริมที่มีประสิทธิผลมากก็ตาม กระทรวงการคลังไม่ใช่ไร้ที่ติเรื่องนี้ชัดเจนขึ้นมากจากการโจมตี MFA Fatigue ล่าสุด หรือที่เรียกว่าการโจมตี notification bombing
อาการเหนื่อยล้าจาก MFA คืออะไร ลองนึกภาพดูสิ ตอนนั้นดึกมากแล้ว คุณกำลังนั่งพักผ่อนอยู่บนโซฟาดูรายการโปรด ทันใดนั้น สมาร์ทโฟนของคุณก็เริ่มสั่นไม่หยุด คุณมองหน้าจอและเห็นการแจ้งเตือนต่างๆ มากมาย: «คุณกำลังพยายามเข้าสู่ระบบใช่ไหม?“คุณละเลยข้อแรกและข้อที่สอง แต่ มีการแจ้งเตือนแบบเดียวกันเข้ามาอยู่เรื่อยๆ: หลายสิบครั้ง! ในช่วงเวลาแห่งความหงุดหงิด คุณเพียงต้องการหยุดการตอก แต่ดันกด "อนุมัติ"
การโจมตีด้วยการแจ้งเตือนทำงานอย่างไร
คุณเพิ่งจะตกอยู่ในอาการ MFA Fatigue น่ะสิ แต่มันจะเป็นไปได้ยังไงล่ะ?
- ด้วยเหตุผลบางอย่าง ผู้ก่ออาชญากรรมทางไซเบอร์จึงได้ชื่อผู้ใช้และรหัสผ่านของคุณไป
- แล้ว พยายามเข้าสู่ระบบซ้ำๆ ในบางบริการที่คุณใช้ โดยปกติแล้วระบบการตรวจสอบสิทธิ์จะส่งการแจ้งเตือนแบบพุชไปยังแอป MFA ของคุณ
- ปัญหาเกิดขึ้นเมื่อผู้โจมตีใช้เครื่องมืออัตโนมัติบางอย่าง สร้างความพยายามเข้าสู่ระบบหลายสิบหรือหลายร้อยครั้งในเวลาเพียงไม่กี่นาที.
- ส่งผลให้โทรศัพท์มือถือของคุณถูกถล่มด้วยการแจ้งเตือนที่ขออนุมัติ
- ในการพยายามหยุดการแจ้งเตือนจำนวนมาก คุณคลิกที่ "อนุมัติ" และนั่นคือทั้งหมดที่ผู้โจมตีจะเข้าควบคุมบัญชีของคุณ
ทำไมถึงมีประสิทธิภาพมาก?
เป้าหมายของ MFA Fatigue ไม่ใช่การเอาชนะเทคโนโลยี แต่เป็นการแสวงหา หมดความอดทนและสามัญสำนึกของคุณแล้วลองคิดดูอีกที ปัจจัยด้านมนุษย์คือจุดอ่อนที่สุดในห่วงโซ่ที่ปกป้องความปลอดภัยของคุณ นั่นเป็นเหตุผลที่การแจ้งเตือนจำนวนมากถูกออกแบบมาเพื่อทำให้คุณสับสน สับสน และลังเล... จนกระทั่งคุณกดปุ่มผิด เพียงแค่คลิกเดียวก็เพียงพอ
เหตุผลหนึ่งที่ทำให้ MFA Fatigue มีประสิทธิผลมากก็คือ การอนุมัติการแจ้งเตือนแบบพุชเป็นเรื่องง่ายอย่างเหลือเชื่อเพียงแค่แตะครั้งเดียว และบ่อยครั้งก็ไม่จำเป็นต้องปลดล็อกโทรศัพท์ด้วยซ้ำ บางครั้งนี่อาจเป็นวิธีที่ง่ายที่สุดที่จะทำให้อุปกรณ์กลับมาเป็นปกติ
และมันจะแย่ลงถ้า ผู้โจมตีติดต่อคุณโดยแอบอ้างว่าเป็นเจ้าหน้าที่ฝ่ายสนับสนุนด้านเทคนิคพวกเขาน่าจะเสนอ "ความช่วยเหลือ" เพื่อพยายามแก้ไข "ปัญหา" นี้ โดยกระตุ้นให้คุณอนุมัติการแจ้งเตือน กรณีนี้เกิดขึ้นกับการโจมตี Microsoft ในปี 2021 ซึ่งกลุ่มผู้โจมตีได้ปลอมตัวเป็นฝ่ายไอทีเพื่อหลอกลวงเหยื่อ
ความเหนื่อยล้าจาก MFA: การโจมตีด้วยการแจ้งเตือนและวิธีหยุดยั้ง
แล้วมีวิธีป้องกัน MFA ไหม? ใช่ โชคดีที่มีแนวทางปฏิบัติที่ดีที่สุดที่ช่วยป้องกันการแจ้งเตือนที่ล้นหลาม แนวทางปฏิบัติเหล่านี้ไม่จำเป็นต้องกำจัดการยืนยันตัวตนแบบหลายปัจจัย แต่... นำไปปฏิบัติได้อย่างชาญฉลาดมากขึ้นมาตรการที่มีประสิทธิผลที่สุดมีดังต่อไปนี้
อย่าอนุมัติการแจ้งเตือนที่คุณไม่ได้ร้องขออย่างเด็ดขาด
ไม่ว่าคุณจะเหนื่อยหรือหงุดหงิดแค่ไหน คุณไม่ควรอนุมัติการแจ้งเตือนที่คุณไม่ได้ร้องขอนี่คือกฎทองที่จะป้องกันไม่ให้มีความพยายามใดๆ ที่จะหลอกคุณจนเกิดอาการ MFA หากคุณไม่ได้พยายามเข้าสู่ระบบบริการใดๆ การแจ้งเตือน MFA ใดๆ ก็ตามถือเป็นสิ่งน่าสงสัย
ในเรื่องนี้ก็ควรจดจำไว้ด้วยว่า ไม่มีบริการใดที่จะติดต่อคุณเพื่อ "ช่วย" คุณแก้ไข "ปัญหา"และยิ่งน้อยลงไปอีกหากช่องทางการติดต่อเป็นโซเชียลเน็ตเวิร์กหรือแอปส่งข้อความ เช่น WhatsApp การแจ้งเตือนที่น่าสงสัยใดๆ ควรรายงานไปยังฝ่ายไอทีหรือฝ่ายความปลอดภัยของบริษัทหรือบริการของคุณทันที
หลีกเลี่ยงการใช้การแจ้งเตือนแบบพุชเป็นวิธีการ MFA เพียงวิธีเดียว
ใช่ การแจ้งเตือนแบบพุชนั้นสะดวกแต่ก็มีความเสี่ยงต่อการโจมตีประเภทนี้เช่นกัน ควรใช้วิธีการที่แข็งแกร่งกว่า เป็นส่วนหนึ่งของการยืนยันตัวตนแบบสองปัจจัย ตัวอย่างเช่น:
- รหัส TOTP (รหัสผ่านครั้งเดียวตามเวลา) ซึ่งสร้างขึ้นโดยแอปพลิเคชันเช่น Google Authenticator หรือ ออตี้.
- คีย์ความปลอดภัยทางกายภาพในขณะที่ Yubikey หรือ Titan Security Key
- การยืนยันตัวตนแบบใช้ตัวเลขวิธีนี้คุณจะต้องป้อนหมายเลขที่ปรากฏบนหน้าจอเข้าสู่ระบบ ซึ่งจะป้องกันการอนุมัติอัตโนมัติ
ใช้การจำกัดและการแจ้งเตือนในการพยายามตรวจสอบสิทธิ์
สำรวจระบบการตรวจสอบสิทธิ์ที่คุณใช้และ เปิดใช้งานการจำกัดความพยายามและการแจ้งเตือนเนื่องจากจำนวนรายงานกรณีความเหนื่อยล้าจาก MFA เพิ่มมากขึ้น ระบบ MFA จึงมีตัวเลือกให้เลือกมากขึ้นเรื่อยๆ ดังนี้:
- บล็อคความพยายามชั่วคราว หลังจากถูกปฏิเสธติดต่อกันหลายครั้ง
- ส่งการแจ้งเตือน ให้กับทีมงานรักษาความปลอดภัยหากตรวจพบการแจ้งเตือนหลายรายการในช่วงเวลาสั้นๆ
- การลงทะเบียนและตรวจสอบบัญชี ความพยายามตรวจสอบสิทธิ์ทั้งหมดสำหรับการวิเคราะห์ในภายหลัง (ประวัติการเข้าถึง)
- ต้องมีปัจจัยที่สองที่แข็งแกร่งกว่า หากความพยายามในการเข้าสู่ระบบมีต้นทางจากตำแหน่งที่ผิดปกติ
- บล็อคการเข้าถึงโดยอัตโนมัติ หากพฤติกรรมของผู้ใช้ผิดปกติ
สรุปคือ ให้ระวังไว้! การเปิดใช้งานการตรวจสอบปัจจัยหลายอย่างยังคงเป็นมาตรการที่จำเป็น เพื่อปกป้องความปลอดภัยออนไลน์ของคุณ แต่อย่าคิดว่ามันเป็นอุปสรรคที่ยากจะข้ามพ้น หากคุณเข้าถึงมันได้ ใครๆ ก็เข้าถึงได้หากพวกเขาหลอกคุณได้ นั่นเป็นเหตุผลที่ผู้โจมตีจะเล็งเป้าคุณ พวกเขาจะพยายามรบกวนคุณจนกว่าคุณจะยอมให้พวกเขาเข้ามา
อย่าติดกับดัก MFA Fatigue! อย่าหลงเชื่อการแจ้งเตือนมากมาย รายงานคำขอที่น่าสงสัยและเปิดใช้งานขีดจำกัดและการแจ้งเตือนเพิ่มเติมด้วยวิธีนี้ ความดื้อรั้นของผู้โจมตีจะไม่สามารถทำให้คุณคลั่งไคล้และทำให้คุณกดปุ่มผิดได้
ตั้งแต่ฉันยังเด็กมาก ฉันสนใจทุกสิ่งที่เกี่ยวข้องกับความก้าวหน้าทางวิทยาศาสตร์และเทคโนโลยี โดยเฉพาะสิ่งที่ทำให้ชีวิตของเราง่ายขึ้นและสนุกสนานยิ่งขึ้น ฉันชอบติดตามข่าวสารและเทรนด์ล่าสุด และแบ่งปันประสบการณ์ ความคิดเห็น และคำแนะนำเกี่ยวกับอุปกรณ์และอุปกรณ์ที่ฉันใช้ สิ่งนี้ทำให้ฉันกลายเป็นนักเขียนเว็บเมื่อห้าปีที่แล้ว โดยเน้นที่อุปกรณ์ Android และระบบปฏิบัติการ Windows เป็นหลัก ฉันได้เรียนรู้ที่จะอธิบายสิ่งที่ซับซ้อนด้วยคำพูดง่ายๆ เพื่อให้ผู้อ่านเข้าใจได้ง่าย