MFA Prompt Bombing es un método de ataque eficaz utilizado por los atacantes para obtener acceso a un sistema protegido por Multi-Factor Authentication (MFA). El atacante envía una gran cantidad de solicitudes de aprobación de MFA a un usuario para abrumarlo con las solicitudes. Un clic equivocado y un atacante tiene acceso.
Independientemente del nivel de acoso de MFA Prompt Bombing, el objetivo es que el usuario acepte la solicitud de MFA y otorgue acceso a las cuentas o proporcione una forma de ejecutar código malicioso en un sistema específico. La industria de la seguridad ve los ataques con bombas de MFA como una forma de ingeniería social. Este conocido vector de ataque solo ganó popularidad entre los atacantes en los últimos dos años y, sin embargo, muchos usuarios y equipos de seguridad aún desconocen esta técnica de ataque.
Bombardeo rápido de MFA en acción
Uno de los ataques MFA Prompt Bombing exitosos más conocidos fue llevado a cabo por el grupo de hackers Lapsus$. Sus acciones destacaron las debilidades de ciertas configuraciones, incluidas las notificaciones automáticas. En sus recientes ataques exitosos, el grupo de piratas informáticos bombardeó a los usuarios con solicitudes hasta que las víctimas finalmente aprobaron el acceso. El grupo también aprovechó la capacidad de los proveedores de MFA para permitir que los empleados reciban una llamada telefónica a un dispositivo autorizado para la autenticación y presionen una tecla específica como segundo factor.
Una declaración publicada por un miembro de Lapsus$ en el canal de chat de Telegram del grupo ilustra la táctica descarada de los ciberdelincuentes: "No hay límite para la cantidad de llamadas que puedes hacer. Si llama al empleado 100 veces a la 1 a. m. cuando intenta dormir, lo más probable es que acepte. Una vez que el agente responde la primera llamada, puede acceder al portal de inscripción de MFA e inscribir otro dispositivo”.
Equilibrio entre usabilidad y seguridad
Con la creciente notoriedad de los ataques de bombardeo rápido de MFA, algunas organizaciones han decidido deshabilitar las notificaciones automáticas para las solicitudes de autenticación y, en su lugar, aplicar contraseñas de un solo uso (OTP). Estos están destinados a dificultar que los atacantes accedan a información y recursos confidenciales, pero dan como resultado una experiencia de usuario más pobre, ya que los usuarios deben proporcionar información de inicio de sesión adicional, como un código numérico enviado por SMS.
Si bien OTP puede ser un poco más seguro que las notificaciones automáticas, degrada la experiencia del usuario. Las empresas deben tener cuidado de encontrar el equilibrio adecuado entre usabilidad y seguridad.
Qué pueden hacer las empresas contra los ataques con bombas rápidas de MFA
En lugar de cambiar a OTP, es mejor denegar automáticamente las notificaciones automáticas de MFA cuando se supera una cierta cantidad de notificaciones. Por lo tanto, en caso de un ataque, un usuario final solo recibirá algunas notificaciones de MFA, mientras que el equipo de seguridad será alertado sobre la avalancha de solicitudes de MFA en los registros de actividad del usuario en segundo plano.
Cuando se trata de encontrar el nivel adecuado de seguridad y facilidad de uso para la protección MFA, las notificaciones automáticas siguen siendo la solución recomendada. Sin embargo, deben implementarse con las medidas de seguridad adecuadas.
Protección integral de la identidad
Para garantizar una protección integral de la identidad, implemente una plataforma de protección contra amenazas de identidad diseñada específicamente para la prevención, detección y respuesta en tiempo real a los ataques basados en la identidad que hacen un uso indebido de las credenciales comprometidas para obtener acceso a los recursos específicos. Esta solución de Identity Threat Protection evita los ataques basados en la identidad a través de la supervisión continua, el análisis de riesgos y la aplicación en tiempo real de las políticas de acceso de Zero Trust para cada usuario, sistema y entorno local y en la nube. La tecnología garantiza la protección MFA de extremo a extremo y el monitoreo continuo de todas las autenticaciones en las instalaciones y en la nube.
Para brindar protección dedicada contra los ataques de bombardeo rápido de MFA, la tecnología permite el bloqueo adaptativo: después de una cierta cantidad de solicitudes de MFA rechazadas en un período corto de tiempo, ya no se le pregunta al usuario y las solicitudes se rechazan automáticamente.
Proteja las pólizas basadas en el riesgo
Además, se pueden crear políticas basadas en riesgos que detecten y prevengan riesgos de actividades anormales de MFA, como cuando los usuarios reciben una cantidad inusual de solicitudes en un período corto de tiempo. Esto permite a los administradores asegurarse de que los usuarios no autorizados no puedan acceder a los recursos de la empresa.
Además, esta solución permite la identificación automática de actividades maliciosas y riesgos de todas las solicitudes de autenticación de usuarios y proporciona información detallada sobre cada solicitud MFA denegada. Los administradores pueden monitorear todas las solicitudes de acceso a través de informes diarios o reenviando eventos de syslog a su SIEM.
Los ataques de ingeniería social como MFA Prompt Bombing intentan específicamente explotar las debilidades humanas. Por lo tanto, además de las precauciones técnicas de seguridad, siempre se debe brindar a los empleados información completa para que estén preparados para este tipo de ataques. Con las medidas anteriores, las empresas pueden fortalecer su resiliencia frente a ataques con bomba rápidos y hacer que sea significativamente más difícil para los atacantes eludir la protección MFA.
Más en SilverFort.com
Sobre Silverfort Silverfort proporciona la primera plataforma de protección de identidad unificada que consolida los controles de seguridad de IAM en las redes empresariales y los entornos de nube para mitigar los ataques basados en la identidad. Utilizando tecnología innovadora sin agente y sin proxy, Silverfort se integra a la perfección con todas las soluciones de IAM, unificando su análisis de riesgo y controles de seguridad y extendiendo su cobertura a activos que anteriormente no podían protegerse, como aplicaciones propias y heredadas, infraestructura de TI, sistemas de archivos, línea de comando. herramientas, acceso de máquina a máquina y más.