푸시 2FA는 여전히 안전한가요?

예, 현재 대부분의 주요 제공업체가 기본적으로 요구하는 숫자 일치 또는 지리 정보 확인을 사용하는 경우 가능합니다. 숫자 일치가 없는 일반 "승인/거부" 프롬프트는 MFA 피로에 취약한 상태로 유지됩니다. 인증 앱의 설정을 확인하세요. 버튼만 표시되면 옵션이 있는 경우 번호 일치를 선택하세요.

SMS 코드는 푸시 알림보다 안전합니까?

다양한 위협 모델. SMS는 SIM 교환 및 가로채기에 취약합니다. push 2FA는 순진하게 구현될 경우 MFA 피로에 취약합니다. 숫자 일치 기능을 갖춘 최신 푸시는 SMS보다 훨씬 안전합니다. 하드웨어 키가 둘 다 이겼습니다.

사용자가 자신이 시작하지 않은 메시지를 승인하는 이유는 무엇입니까?

성가심, 혼란, 사회적 압력. 10분 안에 50개의 메시지를 받는 사용자는 무언가가 고장 났다고 가정하고 탭하여 중지시킵니다. IT라고 주장하는 사람의 전화 통화를 추가하면 신중한 사용자라도 승인하는 경우가 있습니다. 인지 부하 + 스크립트 조작이 작동합니다.

MFA 피로는 암호 없이 작동할 수 있나요?

아니요. 공격자가 프롬프트를 트리거하려면 먼저 작동하는 자격 증명이 필요합니다. 아래의 방어 계층은 강력한 고유 비밀번호 + 위반 모니터링입니다. 암호가 아직 공격자의 손에 있지 않으면 MFA 피로가 시작될 수 없습니다.

푸시 2FA를 제거해야 할까요?

잘 구현되면 필요하지 않습니다. 숫자 일치 버전은 대부분의 위협 모델에 대해 충분히 강력합니다. 푸시를 제거하고 TOTP 전용으로 되돌리는 것은 마찰이 많습니다. 동일한 계정의 경우 일반적으로 하드웨어 키가 더 나은 업그레이드 경로입니다.

MFA 피로 공격 설명: 공격자가 푸시 알림을 통과하는 방법

푸시 기반 다단계 인증은 편리합니다. 휴대폰에서 "승인"을 탭하면 인증이 완료됩니다. 또한 MFA 피로라는 공격 패턴을 만들었습니다. 이 패턴은 비밀번호를 알고 있는 공격자가 사용자가 예를 탭하여 중지할 때까지 푸시 알림을 쏟아 붓습니다. 2022년 Uber와 Cisco 위반은 모두 이런 식으로 시작되었습니다.

전체 기사 본문은 아래에 영어로 제공됩니다.

MFA 피로(MFA 폭격 또는 프롬프트 폭격이라고도 함)는 푸시 알림 2FA에 대한 사회 공학 공격입니다. 공격자는 피해자의 비밀번호를 알고 있지만 2차 요소에 의해 차단된다. 해결책은 피해자가 승인할 때까지 푸시 프롬프트를 수십 또는 수백 번 반복적으로 실행하는 것입니다. 때로는 공격자가 IT 지원을 가장하여 피해자에게 전화하기도 합니다. "프롬프트를 승인하면 문제를 해결해 드리겠습니다." "에서 로그인을 승인하시겠습니까?"라는 메시지가 표시됩니다. 예 또는 아니요를 탭하세요. 편리하고 SMS보다 훨씬 낫습니다. 공격자가 귀하의 비밀번호를 알 때까지입니다.

공격 메커니즘

Attacker는 피해자의 비밀번호를 얻습니다(피싱, 이전 위반으로 인한 자격 증명 스터핑, 다크 웹 시장에서 구입).
Attacker가 로그인을 시작합니다. 피해자의 휴대폰에서 푸시 알림이 발생합니다.
Victim이 거부합니다. 아니면 보이지 않습니다.
Attacker가 재시도합니다. 푸시가 다시 발생합니다. 그리고 다시. 그리고 다시.
결국 피해자는 짜증나거나 혼란스럽거나 앱이 멈췄다고 생각하여 승인을 탭합니다.
Attacker가 들어왔습니다.

변종은 푸시 스팸과 IT 지원을 가장하는 공격자의 전화 통화를 결합하여 피해자에게 "보안 문제 해결" 프롬프트를 승인하는 과정을 안내합니다. 문제."

유명한 사례

Uber(2022년 9월) — 18세의 공격자가 계약자의 자격 증명을 구입하고 MFA 메시지를 스팸으로 보낸 다음 WhatsApp에서 계약자에게 IT라고 주장하는 메시지를 보냈습니다. 계약자가 승인되었습니다. 공격자는 공격자가 스크린샷을 게시한 보안 팀의 버그 바운티 플랫폼을 포함한 내부 시스템에 액세스할 수 있었습니다.
Cisco(2022년 5월) — 공격자는 Cisco 자격 증명이 저장된 Cisco 직원의 개인 Google 계정을 손상시켰습니다. 그들은 Duo 메시지를 스팸으로 보내고 음성 피싱을 사용하여 직원이 수락하도록 설득했습니다.
Microsoft (2022-2023) — Lapsus$ 그룹은 여러 회사의 직원을 대상으로 MFA 피로를 광범위하게 사용했습니다.

패턴은 일관됩니다. 사회 공학적 승인은 암호 계층 이후의 위반 벡터가 됩니다. 실패합니다.

Defenses

번호 일치/인증 코드. 단지 "승인/거부" 대신 서버는 로그인 화면에 2자리 숫자를 표시합니다. 푸시 프롬프트는 사용자에게 전화기에 동일한 번호를 입력하도록 요청합니다. 공격자는 번호를 볼 수 없습니다. 사용자가 실수로 승인할 수는 없습니다. Microsoft, Google, Duo, Okta는 모두 2024년까지 이를 기본값으로 출시했습니다.
하드웨어 FIDO2 키. MFA 피로가 불가능합니다. 키는 물리적으로 탭할 때만 서명되며 서명은 원본에 바인딩됩니다(피싱 방지도 가능).
Rate 제한. 반복되는 프롬프트 시도를 차단합니다. 소수의 프롬프트가 실패한 후 계정을 잠급니다.
위험 기반 인증. 특이한 지역, 특이한 장치 또는 특이한 시간에서 로그인하려면 더 강력한 확인이 필요합니다.
사용자 교육. 원치 않는 프롬프트가 누군가가 비밀번호를 가지고 있고 침입을 시도하고 있다는 것을 직원에게 교육합니다. 개시.

사용자 교육 계층이 중요한 이유

기술적 방어는 현실적이고 필요하지만 근본적인 취약성은 사람에게 있습니다. 숫자 일치를 사용하더라도 사용자에게 입력할 번호를 알려주는 음성 통화의 공격자는 성공할 수 있습니다. 하드웨어 키는 물리적 소유가 필요하기 때문에 학급 전체를 압도하지만 대규모 인력에게 배포하는 것은 비용이 많이 들고 운영상 복잡합니다.

가장 효과적인 조합: 최고 가치 계정 및 관리자 사용자를 위한 하드웨어 키, 다른 모든 사람을 위한 숫자 일치 푸시, MFA 피로 시나리오를 포함하는 주기적인 피싱 시뮬레이션.

개인이 할 수 있는 작업

내가 시작하지 않은 푸시 알림을 받으면 거부하세요. 그런 다음 비밀번호를 변경하십시오. 귀하의 자격 증명이 손상되었습니다.
전화상의 누군가가 귀하에게 지시한다고 해서 푸시를 승인하지 마십시오. 실제 IT에서는 문제를 해결하기 위해 프롬프트 승인을 요청하지 않습니다.
가능한 경우 번호 일치 인증기로 전환합니다(대부분의 주요 인증자가 이를 지원함).
정말 관심 있는 계정의 경우 가장 효과적인 단일 방어인 하드웨어 키를 설정하십시오.
원치 않는 프롬프트가 반복되면 심각한 사고로 처리하십시오. IT 팀에 알리고 즉시 자격 증명을 변경하십시오.

자주 묻는 질문

푸시 2FA는 여전히 안전한가요?: 예, 현재 대부분의 주요 제공업체가 기본적으로 요구하는 숫자 일치 또는 지리 정보 확인을 사용하는 경우 가능합니다. 숫자 일치가 없는 일반 "승인/거부" 프롬프트는 MFA 피로에 취약한 상태로 유지됩니다. 인증 앱의 설정을 확인하세요. 버튼만 표시되면 옵션이 있는 경우 번호 일치를 선택하세요.
SMS 코드는 푸시 알림보다 안전합니까?: 다양한 위협 모델. SMS는 SIM 교환 및 가로채기에 취약합니다. push 2FA는 순진하게 구현될 경우 MFA 피로에 취약합니다. 숫자 일치 기능을 갖춘 최신 푸시는 SMS보다 훨씬 안전합니다. 하드웨어 키가 둘 다 이겼습니다.
사용자가 자신이 시작하지 않은 메시지를 승인하는 이유는 무엇입니까?: 성가심, 혼란, 사회적 압력. 10분 안에 50개의 메시지를 받는 사용자는 무언가가 고장 났다고 가정하고 탭하여 중지시킵니다. IT라고 주장하는 사람의 전화 통화를 추가하면 신중한 사용자라도 승인하는 경우가 있습니다. 인지 부하 + 스크립트 조작이 작동합니다.
MFA 피로는 암호 없이 작동할 수 있나요?: 아니요. 공격자가 프롬프트를 트리거하려면 먼저 작동하는 자격 증명이 필요합니다. 아래의 방어 계층은 강력한 고유 비밀번호 + 위반 모니터링입니다. 암호가 아직 공격자의 손에 있지 않으면 MFA 피로가 시작될 수 없습니다.
푸시 2FA를 제거해야 할까요?: 잘 구현되면 필요하지 않습니다. 숫자 일치 버전은 대부분의 위협 모델에 대해 충분히 강력합니다. 푸시를 제거하고 TOTP 전용으로 되돌리는 것은 마찰이 많습니다. 동일한 계정의 경우 일반적으로 하드웨어 키가 더 나은 업그레이드 경로입니다.