Čtenáři jako vy pomáhají podporovat MUO. Když provedete nákup pomocí odkazů na našich stránkách, můžeme získat provizi přidružené společnosti.
Narůstající počet případů krádeže přihlašovacích údajů přiměl společnosti k implementaci vícefaktorové autentizace (MFA), aby chránily své zaměstnance před vážnými důsledky krádeže hesel. Ale hackeři nyní provádějí MFA únavové útoky, aby tuto přidanou vrstvu ochrany obešli.
Co je tedy únava MFA? Jak tyto útoky fungují? A co můžete udělat pro svou ochranu?
Co je únavový útok MFA?
Únavový útok MFA zahrnuje neustálé bombardování vlastníka účtu push notifikacemi MFA, dokud nevyklouznou nebo se psychicky neopotřebují a neschválí žádost o přihlášení.
Jakmile je žádost o MFA schválena, mohou hackeři přistupovat k účtu uživatele a zneužívat jej, jak chtějí.
Hlavním cílem takového útoku je posílat nekonečnou příval MFA push notifikací, aby majitel účtu vyvolal pocit únavy.
V pravý čas tato únava MFA způsobí, že vlastník účtu schválí žádost o přihlášení náhodně nebo vědomě, aby zastavil oznámení push MFA.
Jak funguje únavový útok MFA
S více a více aplikacemi a službami přijetí vícefaktorové autentizaceschvalování push notifikací MFA se může stát rutinním úkolem, když majitelé účtů potřebují schvalovat žádosti o MFA několikrát denně. V konečném důsledku může každodenní schvalování push notifikací MFA způsobit, že majitelé účtů budou nepozorní.
Neustálé bombardování oznámení MFA navíc může vlastníky účtů vyčerpat a přimět je, aby schválili žádost o přihlášení, jednoduše proto, aby je oznámení neobtěžovala.
Vzhledem k tomu, že majitelé účtů často na svých chytrých telefonech používají ověřovací aplikace, mohou se na ně hackeři zaměřit 24 hodin denně, 7 dní v týdnu, aby je zničili.
Co se stane při únavovém útoku MFA?
Prvním krokem útoků únavy MFA je získání přihlašovacích údajů uživatele účtu. Je jich mnoho běžné triky k hacknutí hesel, včetně phishingu, spideringu a útoků hrubou silou.
Jakmile má útočník přihlašovací údaje uživatele, bombarduje je výzvami k vícefaktorové autentizaci.
Útočníci doufají, že:
- Uživatel omylem schválí pokus o přihlášení.
- Uživatel se podvolí kvůli psychickému tlaku vyvíjenému nekonečným proudem žádostí MFA.
Únavové útoky MFA lze snadno automatizovat. a často, sociální inženýrství je kombinován s útokem únavy MFA, aby byl útok úspěšný.
Cílový uživatel například obdrží phishingový e-mail s žádostí o schválení žádosti o MFA. Phishingový e-mail může cíl také informovat o tom, že v nadcházejících dnech může dostat záplavu několika žádostí o MFA, protože je implementován nový bezpečnostní systém. E-mail může dále uvádět, že žádosti o MFA budou zastaveny, jakmile vlastník účtu schválí pokus o přihlášení.
Jak se chránit před únavovým útokem MFA
Zde je několik způsobů, jak zůstat v bezpečí před únavou z MFA.
1. Povolit další kontext
Povolení dalšího kontextu v požadavcích MFA může nabídnout lepší zabezpečení a ochránit vás před útoky únavy MFA.
Další kontext v žádosti o MFA vám pomůže pochopit, který účet spustil oznámení o MFA, v kterou denní dobu když byl proveden pokus o přihlášení, zařízení použité k pokusu o přihlášení a umístění zařízení, kde byl pokus o přihlášení vyrobeno.
Pokud uvidíte více žádostí o MFA spuštěných z neznámého místa nebo zařízení, když se nepokoušíte přihlásit k účtu, je to známka toho, že se vás aktér hrozby pokouší poslat spam. Měli byste okamžitě změnit heslo k tomuto účtu a informujte své IT oddělení, pokud je navázáno na firemní síť.
Mnoho aplikací MFA má tuto funkci ve výchozím nastavení povolenou. Pokud vaše aplikace pro ověřování nezobrazuje další kontext, ponořte se do nastavení aplikace a zkontrolujte, zda má možnost povolit další kontext.
2. Přijměte autentizaci na základě rizika
Použití ověřovací aplikace se schopností autentizace na základě rizika může pomoci bránit se útokům únavy MFA. Taková aplikace dokáže detekovat a analyzovat signály hrozeb na základě známých vzorců útoků a podle toho upravit požadavky na zabezpečení.
Mezi známé vzorce hrozeb patří mimo jiné neobvyklé místo pokusu o přihlášení, opakovaná selhání přihlášení, obtěžování MFA push a mnoho dalšího.
Zkontrolujte, zda vaše aplikace MFA nabízí ověřování založené na riziku. Pokud ano, povolte jej, aby zůstal chráněn před nevyžádanou poštou MFA.
3. Implementujte ověřování FIDO2
Přijetí FIDO2 forma autentizace v jakékoli společnosti může zabránit útokům únavy MFA.
FIDO2 poskytuje uživatelům autentizaci bez hesla a vícefaktorovou autentizaci založenou na biometrii. Vzhledem k tomu, že vaše přihlašovací údaje neopustí vaše zařízení, eliminuje to riziko krádeže přihlašovacích údajů, takže aktéři hrozeb nemohou provádět spamování oznámení MFA.
4. Zakázat Push Notification jako metodu ověření
Funkce oznámení MFA push je navržena tak, aby nabízela snadné použití. Majitelé účtů musí pouze kliknout na „Ano“ nebo „Povolit“, aby se přihlásili ke svým účtům.
Útoky z únavy MFA využívají tuto funkci ověřovacích aplikací. Vypnutí těchto jednoduchých oznámení push jako metody ověření v aplikaci pro ověřování je osvědčený způsob, jak zvýšit zabezpečení MFA.
Zde je několik metod, které můžete použít k ověření žádosti o MFA:
- Shoda čísel.
- Výzva a odezva.
- Jednorázové heslo založené na čase.
Výhodou použití porovnávání čísel nebo jednorázového hesla založeného na čase jako metody ověření je, že uživatelé nemohou žádost o MFA schválit náhodou; budou potřebovat potřebné informace k dokončení ověřovacího procesu.
Zkontrolujte svou ověřovací aplikaci a zjistěte, kterou funkci ověřování MFA můžete použít místo jednoduchých oznámení push, která uživatele vyzve, aby kliknutím na „Ano“ nebo „Povolit“ schválili pokusy o přihlášení.
5. Omezte požadavky na ověření
Omezení počtu žádostí o přihlášení v aplikaci pro ověřování může pomoci zabránit rychlému bombardování nebo únavě MFA. Ne všechny autentizátory ale tuto funkci nabízejí.
Zkontrolujte, zda vám autentizátor MFA umožňuje omezit požadavky na ověření; poté bude účet zablokován.
6. Šířit povědomí o bezpečnosti kolem MFA
Pokud řídíte společnost, nejlepším způsobem, jak zabránit únavě z MFA, je školení o bezpečnosti. Ujistěte se, že vaši zaměstnanci vědí, jak vypadá únavový záchvat MFA a co dělat, když k němu dojde. Také by měli být schopni odhalit phishingový e-mail s žádostí o schválení žádostí o MFA.
Pravidelné školení zaměstnanců o nejlepších postupech v oblasti kybernetické bezpečnosti vede k ochraně účtů dlouhou cestu.
Nenechte se dotlačit k chybě
Vícefaktorové ověřování přidává vašim účtům další vrstvu zabezpečení. Chránil by vaše účty, i když aktéři hrozeb získali přístup k vašim přihlašovacím údajům. Měli byste si ale dávat pozor na záchvat únavy MFA. Může to být nepříjemné, ale nepodléhejte tomu.
