Je li push 2FA još uvijek siguran?

Da ako koristi podudaranje brojeva ili provjeru geokonteksta, što većina glavnih pružatelja sada zahtijeva prema zadanim postavkama. Obični upiti "odobri/odbij" bez podudaranja brojeva ostaju ranjivi na MFA zamor. Provjerite postavke svoje aplikacije autentifikatora — ako prikazuje samo gumb, uključite podudaranje brojeva tamo gdje postoji opcija.

Jesu li SMS kodovi sigurniji od push obavijesti?

Različiti modeli prijetnji. SMS je ranjiv na SIM swap i presretanje; push 2FA je osjetljiv na MFA zamor kada se naivno implementira. Moderni push s podudaranjem brojeva značajno je sigurniji od SMS-a. Hardverski ključevi pobjeđuju oboje.

Zašto bi korisnik odobrio upit koji nije pokrenuo?

Ljutnja, zbunjenost, društveni pritisak. Korisnik koji dobije 50 upita u 10 minuta pretpostavlja da je nešto pokvareno i dodirne kako bi zaustavio. Dodajte telefonski poziv nekoga tko tvrdi da je IT, a čak i oprezni korisnici to ponekad odobravaju. Kognitivno opterećenje + skriptirana manipulacija funkcionira.

Može li MFA fatigue raditi bez lozinke?

Ne — napadaču prvo trebaju radne vjerodajnice da bi pokrenuo upite. Obrambeni sloj u nastavku su jake jedinstvene lozinke + praćenje kršenja. Ako vaša lozinka već nije u rukama napadača, MFA zamor ne može započeti.

Trebamo li samo ukloniti push 2FA?

Nije potrebno ako se dobro provede. Verzija s podudaranjem brojeva dovoljno je robusna za većinu modela prijetnji. Uklanjanje pritiska i vraćanje samo na TOTP teško je; za iste račune hardverski ključevi obično su bolji put nadogradnje.

Objašnjenje MFA Fatigue napada: Kako napadači zaobilaze vaše push obavijesti

Višefaktorska provjera autentičnosti temeljena na push-u je praktična — dodirnite "odobri" na svom telefonu i ulazite. Također je stvorila obrazac napada koji se naziva MFA umor, gdje vas napadač koji ima lozinku obasipa push obavijestima sve dok ne dodirnete yes samo kako bi ih zaustavio. Kršenje Ubera i Cisca 2022. počelo je na ovaj način.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

MFA fatigue (također nazvan MFA bombardiranje ili prompt bombardovanje) napad je društvenog inženjeringa protiv 2FA push-obavijesti. Napadač ima žrtvinu lozinku, ali je blokiran drugim faktorom. Njihovo rješenje: više puta pokrenite push prompt — desetke ili stotine puta — dok žrtva ne dodirne i odobri. Ponekad napadač također zove žrtvu, predstavljajući se kao IT podrška: "samo odobrite upit i mi ćemo riješiti problem."

Kako push 2FA normalno funkcionira

Kada se prijavite s korisničkim imenom i lozinkom, poslužitelj šalje obavijest na vaš registrirani telefon putem Duo-a, Microsoft Authenticatora, Okta Verify-a ili sličnog. Vidite "Odobriti prijavu iz ?" i dodirnite da ili ne. Praktično i daleko bolje od SMS-a — sve dok napadač ne dobije vašu lozinku.

Mehanika napada

Napadač dobiva žrtvinu lozinku (phishing, namještanje vjerodajnica od prethodnog kršenja, kupljeno na mračnim web tržištima).
Napadač pokreće prijavu. Push obavijest se aktivira na žrtvinom telefonu.
Žrtva odbija. Ili ga ne vidi.
Napadač ponovno pokušava. Ponovno gurnite vatre. I opet. I opet.
Na kraju, žrtva — iznervirana, zbunjena ili pretpostavljajući da je aplikacija zapela — dodirne odobrenje.
Napadač je unutra.

Varijante kombiniraju push neželjenu poštu s telefonskim pozivom od napadača koji se pretvara da je IT podrška, prolazeći žrtvu kroz odobravanje upit za "riješenje sigurnosnog problema."

Poznati primjeri

Uber (rujan 2022.) — 18-godišnji napadač kupio je vjerodajnice izvođača, slao neželjene poruke MFA-u, zatim poslao poruku izvođaču na WhatsAppu tvrdeći da je IT. Izvođač odobren. Napadač je imao pristup internim sustavima, uključujući platformu sigurnosnog tima za bug-bounty, gdje je napadač objavljivao snimke zaslona.
Cisco (svibanj 2022.) — napadači su kompromitirali osobni Google račun Ciscovog zaposlenika koji je spremio Cisco vjerodajnice. Slali su neželjene poruke Duo i koristili glasovni krađu identiteta kako bi uvjerili zaposlenika da prihvati.
Microsoft (2022.-2023.) — Lapsus$ grupa intenzivno je koristila MFA zamor protiv zaposlenika više kompanija.

Uzorak je dosljedan: društveno projektirano odobravanje postaje vektor za probijanje nakon što sloj lozinke zakaže.

Obrane

Kodovi za podudaranje/verifikaciju brojeva. Umjesto samo "odobri/odbij", poslužitelj prikazuje 2-znamenkasti broj na ekranu za prijavu; push prompt traži od korisnika da upiše isti broj na svom telefonu. Napadač ne vidi broj; korisnik ne može slučajno odobriti. Microsoft, Google, Duo, Okta svi su ovo postavili kao zadano do 2024.
Hardverski FIDO2 ključevi. Ne može biti zamoren MFA — ključ se označava samo kada se fizički dodirne, a potpis je vezan za izvor (pobjeđuje phishing kao dobro).
Ograničenje brzine. Blokiraj ponovljene pokušaje upita; zaključajte račun nakon malog broja neuspjelih upita.
Provjera autentičnosti temeljena na riziku. Prijave s neobičnih geografskih područja, neobičnih uređaja ili neobičnih vremena zahtijevaju jaču provjeru.
Obrazovanje korisnika. Obučite zaposlenike da neželjeni upiti znače da netko ima lozinku i pokušava provaliti. Nikada odobrite upite koje niste pokrenuli.

Zašto je sloj obrazovanja korisnika bitan

Tehničke obrane su stvarne i neophodne, ali temeljna ranjivost je ljudska. Čak i uz podudaranje brojeva, napadač u glasovnom pozivu koji korisniku govori broj koji treba upisati može uspjeti. Hardverski ključevi pobjeđuju cijelu klasu jer zahtijevaju fizičko posjedovanje, ali njihovo širenje na veliku radnu snagu je skupo i operativno složeno.

Najučinkovitija kombinacija: hardverski ključevi za račune najveće vrijednosti i administrativne korisnike, push s podudaranjem broja za sve ostale, s periodičnim simulacijama krađe identiteta koje uključuju scenarije zamora MFA.

Što pojedinci mogu učiniti

IAko dobijete push obavijest koju niste pokrenuli, odbijte je. Zatim promijenite zaporku — vaše vjerodajnice su ugrožene.
Nikada ne odobravajte push jer vam to netko na telefonu kaže. Pravi IT od vas neće tražiti da odobrite upit da bilo što popravite.
Prebacite se na autentifikator za podudaranje brojeva ako je dostupan (većina ga podržava).
Za račune do kojih vam je stvarno stalo, postavite hardverski ključ — jedina najučinkovitija obrana.
Ponovljene neželjene upite tretirajte kao ozbiljan incident. Obavijestite svoj IT tim i odmah promijenite vjerodajnice.

Često postavljana pitanja

Je li push 2FA još uvijek siguran?: Da ako koristi podudaranje brojeva ili provjeru geokonteksta, što većina glavnih pružatelja sada zahtijeva prema zadanim postavkama. Obični upiti "odobri/odbij" bez podudaranja brojeva ostaju ranjivi na MFA zamor. Provjerite postavke svoje aplikacije autentifikatora — ako prikazuje samo gumb, uključite podudaranje brojeva tamo gdje postoji opcija.
Jesu li SMS kodovi sigurniji od push obavijesti?: Različiti modeli prijetnji. SMS je ranjiv na SIM swap i presretanje; push 2FA je osjetljiv na MFA zamor kada se naivno implementira. Moderni push s podudaranjem brojeva značajno je sigurniji od SMS-a. Hardverski ključevi pobjeđuju oboje.
Zašto bi korisnik odobrio upit koji nije pokrenuo?: Ljutnja, zbunjenost, društveni pritisak. Korisnik koji dobije 50 upita u 10 minuta pretpostavlja da je nešto pokvareno i dodirne kako bi zaustavio. Dodajte telefonski poziv nekoga tko tvrdi da je IT, a čak i oprezni korisnici to ponekad odobravaju. Kognitivno opterećenje + skriptirana manipulacija funkcionira.
Može li MFA fatigue raditi bez lozinke?: Ne — napadaču prvo trebaju radne vjerodajnice da bi pokrenuo upite. Obrambeni sloj u nastavku su jake jedinstvene lozinke + praćenje kršenja. Ako vaša lozinka već nije u rukama napadača, MFA zamor ne može započeti.
Trebamo li samo ukloniti push 2FA?: Nije potrebno ako se dobro provede. Verzija s podudaranjem brojeva dovoljno je robusna za većinu modela prijetnji. Uklanjanje pritiska i vraćanje samo na TOTP teško je; za iste račune hardverski ključevi obično su bolji put nadogradnje.