Новый вид атаки использует усталость пользователей для кражи аккаунтов

Хакеры все чаще используют социальную инженерию, чтобы получить доступ к корпоративным учетным данным и взламывать крупные сети. Одним из компонентов этих атак является метод под названием MFA Fatigue. При взломе корпоративных сетей хакеры обычно используют украденные учетные данные сотрудников для доступа к внутренней сети.

Что такое MFA Fatigue?

Когда многофакторная аутентификация компании настроена на использование push-уведомлений, на мобильном устройстве сотрудника отображается запрос, когда кто-то попытается войти в систему со своими учетными данными. Эти push-уведомления просят пользователя подтвердить попытку входа и показывают, где предпринимается попытка входа.

Push-уведомление МФА

В ходе атаки MFA Fatigue злоумышленник запускает сценарий, который постоянно пытается войти в систему с украденными учетными данными, вызывая бесконечный поток push-запросов, отправляемых на мобильное устройство владельца учетной записи. Цель хакера состоит в том, чтобы поддерживать атаку днем ​​и ночью с целью нарушить состояние кибербезопасности жертвы и вызвать чувство «усталости» от надоедливых уведомлений.

ИБ-компания Reformed IT в видео на YouTube продемонстрировала атаку MFA Fatigue (MFA Spamming).

Во многих случаях злоумышленники рассылают повторяющиеся уведомления МФА, а затем связываются с целью по электронной почте, через мессенджер или по телефону, выдавая себя за службу техподдержки, чтобы убедить пользователя принять запрос входа.

В конечном счете жертва случайно нажимает кнопку «Подтвердить» или просто принимает запрос, чтобы прекратить бесконечный поток уведомлений.

Эта техника социальной инженерии оказалась очень успешной и использовалась злоумышленниками Lapsus$ и Yanluowang при взломе Microsoft, Cisco и Uber .

Эксперты рекомендуют сотрудникам организаций не одобрять запросы на вход, даже если уведомления приходят постоянно и в большом количестве. Также нельзя разговаривать с неизвестными людьми, утверждающими, что они сотрудники этой же компании или специалисты техподдержки.

Нужно связаться с IT-отделом организации и сообщить о возможной компрометации аккаунта и об атаке, а также изменить пароль для своей учетной записи, чтобы хакер не мог войти в систему и генерировать push-уведомления МФА.

Специалисты по безопасности рекомендуют отключить push-уведомления МФА, а если это невозможно, включить функцию сопоставления чисел для повышения безопасности. Эта функция отображает несколько чисел для пользователя, который пытается войти в систему со своими учетными данными. Затем эти числа необходимо ввести в приложение проверки подлинности владельца учетной записи на мобильном устройстве, чтобы убедиться, что он входит в учетную запись.

Функция проверки чисел Microsoft

Также нужно ограничить количество запросов аутентификации на каждого пользователя, а при превышении лимита заблокировать учетные записи или отправить оповещения администратору домена.

Некоторые предлагают предприятиям перейти на аппаратные ключи безопасности для защиты входа в систему, но другие специалисты по кибербезопасности считают, что ключи могут быть несовместимы с некоторыми онлайн-сервисами.

Издание BleepingComputer получило рекомендации от Microsoft, Okta, Duo и CyberArk по смягчению последствий этих атак.