Атака MFA Fatigue - вид социальной инженерии, который использует многофакторную аутентификацию для взлома Microsoft, Cisco и Uber.
Хакеры все чаще используют социальную инженерию, чтобы получить доступ к корпоративным учетным данным и взламывать крупные сети. Одним из компонентов этих атак является метод под названием MFA Fatigue. При взломе корпоративных сетей хакеры обычно используют украденные учетные данные сотрудников для доступа к внутренней сети.
Что такое MFA Fatigue?
Когда многофакторная аутентификация компании настроена на использование push-уведомлений, на мобильном устройстве сотрудника отображается запрос, когда кто-то попытается войти в систему со своими учетными данными. Эти push-уведомления просят пользователя подтвердить попытку входа и показывают, где предпринимается попытка входа.
Push-уведомление МФА
В ходе атаки MFA Fatigue злоумышленник запускает сценарий, который постоянно пытается войти в систему с украденными учетными данными, вызывая бесконечный поток push-запросов, отправляемых на мобильное устройство владельца учетной записи. Цель хакера состоит в том, чтобы поддерживать атаку днем и ночью с целью нарушить состояние кибербезопасности жертвы и вызвать чувство «усталости» от надоедливых уведомлений.
ИБ-компания Reformed IT в видео на YouTube продемонстрировала атаку MFA Fatigue (MFA Spamming).
Во многих случаях злоумышленники рассылают повторяющиеся уведомления МФА, а затем связываются с целью по электронной почте, через мессенджер или по телефону, выдавая себя за службу техподдержки, чтобы убедить пользователя принять запрос входа.
В конечном счете жертва случайно нажимает кнопку «Подтвердить» или просто принимает запрос, чтобы прекратить бесконечный поток уведомлений.
Эта техника социальной инженерии оказалась очень успешной и использовалась злоумышленниками Lapsus$ и Yanluowang при взломе Microsoft, Cisco и Uber .
Эксперты рекомендуют сотрудникам организаций не одобрять запросы на вход, даже если уведомления приходят постоянно и в большом количестве. Также нельзя разговаривать с неизвестными людьми, утверждающими, что они сотрудники этой же компании или специалисты техподдержки.
Нужно связаться с IT-отделом организации и сообщить о возможной компрометации аккаунта и об атаке, а также изменить пароль для своей учетной записи, чтобы хакер не мог войти в систему и генерировать push-уведомления МФА.
Специалисты по безопасности рекомендуют отключить push-уведомления МФА, а если это невозможно, включить функцию сопоставления чисел для повышения безопасности. Эта функция отображает несколько чисел для пользователя, который пытается войти в систему со своими учетными данными. Затем эти числа необходимо ввести в приложение проверки подлинности владельца учетной записи на мобильном устройстве, чтобы убедиться, что он входит в учетную запись.
Функция проверки чисел Microsoft
Также нужно ограничить количество запросов аутентификации на каждого пользователя, а при превышении лимита заблокировать учетные записи или отправить оповещения администратору домена.
Некоторые предлагают предприятиям перейти на аппаратные ключи безопасности для защиты входа в систему, но другие специалисты по кибербезопасности считают, что ключи могут быть несовместимы с некоторыми онлайн-сервисами.
Издание BleepingComputer получило рекомендации от Microsoft, Okta, Duo и CyberArk по смягчению последствий этих атак.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале