Κόπωση Υπουργείου Εξωτερικών
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων που βασίζεται σε push είναι βολικός — πατήστε "έγκριση" στο τηλέφωνό σας και είστε μέσα. Δημιουργήθηκε επίσης ένα μοτίβο επίθεσης που ονομάζεται κόπωση MFA, όπου ένας εισβολέας που έχει τον κωδικό πρόσβασης σας πλημμυρίζει με ειδοποιήσεις push έως ότου πατήσετε "ναι", απλώς για να τον σταματήσει. Οι παραβιάσεις της Uber και της Cisco του 2022 ξεκίνησαν και οι δύο με αυτόν τον τρόπο.
Το πλήρες κείμενο του άρθρου παρέχεται στα Αγγλικά παρακάτω.
MFA Το (ονομάζεται επίσης βομβαρδισμός MFA ή άμεσος βομβαρδισμός) είναι μια επίθεση κοινωνικής μηχανικής κατά της ειδοποίησης push-notification 2FA. Ο εισβολέας έχει τον κωδικό πρόσβασης του θύματος, αλλά αποκλείεται από τον δεύτερο παράγοντα. Η λύση τους: ενεργοποίηση της προτροπής ώθησης επανειλημμένα — δεκάδες ή εκατοντάδες φορές — έως ότου το θύμα πατήσει την έγκριση. Μερικές φορές ο εισβολέας καλεί επίσης το θύμα, παριστάνοντας ως υποστήριξη IT: "απλώς εγκρίνετε το προτροπή και θα διορθώσουμε το πρόβλημα."
Πώς λειτουργεί κανονικά το push 2FA
Όταν συνδέεστε με όνομα χρήστη και κωδικό πρόσβασης, ο διακομιστής στέλνει μια ειδοποίηση στο εγγεγραμμένο τηλέφωνό σας μέσω του Duo, του Microsoft O Autkta. Βλέπετε "Έγκριση σύνδεσης από το
Η μηχανική επίθεσης
- Attacker αποκτά τον κωδικό πρόσβασης του θύματος (ψάρεμα, γέμισμα διαπιστευτηρίων από προηγούμενη παραβίαση, αγορασμένο σε αγορές dark-web). Η ειδοποίηση push ενεργοποιείται στο τηλέφωνο του θύματος.
- Το θύμα απορρίπτεται. Ή δεν το βλέπει. Ο
- Attacker προσπαθεί ξανά. Σπρώξτε ξανά φωτιές. Και πάλι. Και πάλι.
- Τελικά, το θύμα —ενοχλημένο, μπερδεμένο ή υποθέτοντας ότι έχει κολλήσει εφαρμογή— πατά την έγκριση. Ο
- Attacker μπαίνει. ζητήσει να "διορθώσει το πρόβλημα ασφαλείας."
Διάσημα παραδείγματα
- Uber (Σεπτέμβριος 2022) — ένας 18χρονος εισβολέας αγόρασε τα διαπιστευτήρια ενός εργολάβου, έστειλε μήνυμα ανεπιθύμητης αλληλογραφίας στο WhatsApp στο MFA Εγκρίθηκε ο ανάδοχος. Ο εισβολέας είχε πρόσβαση σε εσωτερικά συστήματα, συμπεριλαμβανομένης της πλατφόρμας bug-bounty της ομάδας ασφαλείας, όπου ο εισβολέας δημοσίευσε στιγμιότυπα οθόνης. Έστειλαν ανεπιθύμητα μηνύματα του Duo και χρησιμοποίησαν φωνητικό ηλεκτρονικό ψάρεμα για να πείσουν τον υπάλληλο να αποδεχτεί. Η κοινωνικά σχεδιασμένη έγκριση γίνεται ο φορέας παραβίασης μετά την αποτυχία του επιπέδου κωδικού πρόσβασης. η προτροπή push ζητά από τον χρήστη να πληκτρολογήσει τον ίδιο αριθμό στο τηλέφωνό του. Ο εισβολέας δεν βλέπει τον αριθμό. ο χρήστης δεν μπορεί να εγκρίνει κατά λάθος. Η Microsoft, η Google, η Duo, η Okta το έχουν διαθέσει ως προεπιλογή μέχρι το 2024.
- Hardware FIDO2 keys. Δεν μπορεί να κουραστεί από MFA — τα σημάδια του κλειδιού μόνο όταν πατηθούν φυσικά και η υπογραφή είναι συνδεδεμένη με το αρχικό στοιχείο καλά). κλειδώστε τον λογαριασμό μετά από έναν μικρό αριθμό αποτυχημένων μηνυμάτων.
- Έλεγχος ταυτότητας βάσει κινδύνου. Οι συνδέσεις από ασυνήθιστες γεωγραφικές περιοχές, ασυνήθιστες συσκευές ή ασυνήθιστες στιγμές απαιτούν ισχυρότερη επαλήθευση. τον κωδικό πρόσβασης και προσπαθεί να εισχωρήσει. Ποτέ μην εγκρίνετε τα μηνύματα που δεν ξεκινήσατε. Ακόμη και με την αντιστοίχιση αριθμού, ένας εισβολέας σε μια φωνητική κλήση που λέει στον χρήστη τον αριθμό που θα πληκτρολογήσει μπορεί να πετύχει. Τα κλειδιά υλικού νικούν ολόκληρη την κατηγορία επειδή απαιτούν φυσική κατοχή, αλλά η διάθεσή τους σε μεγάλο εργατικό δυναμικό είναι δαπανηρή και λειτουργικά πολύπλοκη.
Ο πιο αποτελεσματικός συνδυασμός: κλειδιά υλικού για λογαριασμούς υψηλότερης αξίας και χρήστες διαχειριστή, ώθηση με αντιστοιχία αριθμού για όλους τους άλλους, με περιοδικές προσομοιώσεις phishing που περιλαμβάνουν σενάρια κόπωσης MFA<
.h2>Τι μπορούν να κάνουν τα άτομα- Εάν λάβετε μια ειδοποίηση push που δεν ξεκινήσατε, απορρίψτε την. Στη συνέχεια, αλλάξτε τον κωδικό πρόσβασής σας — τα διαπιστευτήριά σας έχουν παραβιαστεί.
- Μην εγκρίνετε ποτέ μια ώθηση επειδή σας το λέει κάποιος στο τηλέφωνο. Το Real IT δεν θα σας ζητήσει να εγκρίνετε μια προτροπή για να διορθώσετε οτιδήποτε.
- Μετάβαση σε έναν έλεγχο ταυτότητας αντιστοίχισης αριθμών, εάν είναι διαθέσιμος (οι περισσότεροι κύριοι τον υποστηρίζουν). Ειδοποιήστε την ομάδα IT σας και αλλάξτε αμέσως τα διαπιστευτήρια.
Συχνές ερωτήσεις
- Είναι ακόμα ασφαλές το push 2FA;
- Ναι, αν χρησιμοποιεί αντιστοίχιση αριθμών ή επαλήθευση γεωγραφικού περιβάλλοντος, κάτι που οι περισσότεροι μεγάλοι πάροχοι απαιτούν πλέον από προεπιλογή. Τα απλά μηνύματα "έγκριση/άρνηση" χωρίς αντιστοίχιση αριθμών παραμένουν ευάλωτα σε MFA-κόπωση. Ελέγξτε τις ρυθμίσεις της εφαρμογής ελέγχου ταυτότητας — εάν εμφανίζει απλώς ένα κουμπί, επιλέξτε την αντιστοίχιση αριθμών όπου υπάρχει η επιλογή.
- Είναι οι κωδικοί SMS πιο ασφαλείς από τις ειδοποιήσεις push;
- Διαφορετικά μοντέλα απειλών. Το SMS είναι ευάλωτο σε εναλλαγή και υποκλοπή SIM. Το push 2FA είναι ευάλωτο στην κόπωση MFA όταν εφαρμόζεται αφελώς. Η σύγχρονη προώθηση με αντιστοίχιση αριθμού είναι ουσιαστικά πιο ασφαλής από τα SMS. Τα πλήκτρα υλικού κέρδισαν και τα δύο.
- Γιατί ένας χρήστης θα εγκρίνει ένα μήνυμα που δεν ξεκίνησε;
- Ενόχληση, σύγχυση, κοινωνική πίεση. Ένας χρήστης που λαμβάνει 50 προτροπές σε 10 λεπτά υποθέτει ότι κάτι έχει χαλάσει και χτυπά για να το σταματήσει. Προσθέστε ένα τηλεφώνημα από κάποιον που ισχυρίζεται ότι είναι IT και μερικές φορές το εγκρίνουν ακόμη και προσεκτικοί χρήστες. Γνωστικό φορτίο + σεναριακή χειραγώγηση λειτουργεί.
- Μπορεί η κόπωση MFA να λειτουργήσει χωρίς τον κωδικό πρόσβασης;
- Όχι — ο εισβολέας χρειάζεται πρώτα διαπιστευτήρια εργασίας για να ενεργοποιήσει τα μηνύματα. Το επίπεδο άμυνας παρακάτω είναι ισχυροί μοναδικοί κωδικοί πρόσβασης + παρακολούθηση παραβίασης. Εάν ο κωδικός πρόσβασής σας δεν βρίσκεται ήδη στα χέρια των εισβολέων, η κούραση του MFA δεν μπορεί να ξεκινήσει.
- Πρέπει απλώς να αφαιρέσουμε το push 2FA;
- Δεν είναι απαραίτητο εάν εφαρμοστεί καλά. Η έκδοση με αντιστοίχιση αριθμών είναι αρκετά ισχυρή για τα περισσότερα μοντέλα απειλών. Η αφαίρεση της ώθησης και η επαναφορά σε μόνο TOTP είναι βαριά τριβή. για τους ίδιους λογαριασμούς, τα κλειδιά υλικού είναι συνήθως η καλύτερη διαδρομή αναβάθμισης.