MFA Prompt Bombing, saldırganlar tarafından Multi-Factor Authentication (MFA) tarafından korunan bir sisteme erişim elde etmek için kullanılan etkili bir saldırı yöntemidir. Saldırgan, bir kullanıcıyı isteklerle boğmak için çok sayıda MFA onay isteği gönderir. Bir yanlış tıklama ve bir saldırganın erişim hakkı vardır.
MFA İstemli Bombalama tacizinin seviyesi ne olursa olsun, kullanıcının MFA isteğini kabul etmesi ve hesaplara erişim izni vermesi veya hedeflenen bir sistemde kötü amaçlı kod çalıştırmak için bir yol sağlaması amaçlanır. Güvenlik endüstrisi, MFA ani bombalama saldırılarını bir tür sosyal mühendislik olarak görüyor. Bu iyi bilinen saldırı vektörü, saldırganlar arasında yalnızca son iki yılda popülerlik kazanmıştır ve yine de birçok kullanıcı ve güvenlik ekibi bu saldırı tekniğinden hala habersizdir.
MFA hızlı bombalama eylemde
En iyi bilinen başarılı MFA Hızlı Bombalama saldırılarından biri, Lapsus$ hack grubu tarafından gerçekleştirildi. Eylemleri, push bildirimleri de dahil olmak üzere belirli ayarların zayıf yönlerini vurguladı. Bilgisayar korsanı grubu, son başarılı saldırılarında, kurbanlar sonunda erişimi onaylayana kadar kullanıcıları istek yağmuruna tuttu. Grup ayrıca MFA satıcılarının, çalışanların kimlik doğrulama için yetkili bir cihaza telefon araması almasına ve ikinci bir faktör olarak belirli bir tuşa basmasına izin verme yeteneğinden de yararlandı.
Grubun Telegram sohbet kanalında bir Lapsus$ üyesi tarafından yayınlanan bir açıklama, siber suçluların küstah taktiğini gösteriyor: "Yapabileceğiniz çağrı sayısında bir sınır yok. Çalışanı gece 100'de uyumaya çalışırken 1 kez ararsanız, büyük olasılıkla kabul edeceklerdir. Temsilci ilk aramayı yanıtladığında, MFA kayıt portalına erişebilir ve başka bir cihazı kaydedebilirsiniz."
Kullanılabilirlik ve güvenlik arasındaki denge
MFA anında bombalama saldırılarının kötü şöhretinin artmasıyla birlikte, bazı kuruluşlar kimlik doğrulama istekleri için anında iletme bildirimlerini devre dışı bırakmaya ve bunun yerine tek seferlik parolaları (OTP) zorunlu tutmaya karar verdi. Bunlar, saldırganların hassas bilgilere ve kaynaklara erişmesini zorlaştırmayı amaçlar, ancak kullanıcıların SMS yoluyla gönderilen sayısal bir kod gibi ek oturum açma bilgileri sağlamaları gerektiğinden daha kötü bir kullanıcı deneyimine neden olur.
OTP, push bildirimlerinden biraz daha güvenli olsa da, kullanıcı deneyimini düşürür. İşletmeler, kullanılabilirlik ve güvenlik arasında doğru dengeyi bulmaya dikkat etmelidir.
İşletmeler MFA Ani Bombalama Saldırılarına Karşı Ne Yapabilir?
OTP'ye geçmek yerine, belirli bir bildirim sayısı aşıldığında MFA push bildirimlerini otomatik olarak reddetmek daha iyidir. Bu nedenle, bir saldırı durumunda, bir son kullanıcı yalnızca birkaç MFA bildirimi alırken, güvenlik ekibi perde arkasında kullanıcının etkinlik günlüklerindeki MFA isteklerinin seline karşı uyarılır.
MFA koruması için doğru güvenlik düzeyini ve kullanım kolaylığını bulmak söz konusu olduğunda, push bildirimleri hala önerilen çözümdür. Ancak, doğru güvenlik önlemleri ile uygulanmaları gerekir.
Kapsamlı kimlik koruması
Kapsamlı kimlik koruması sağlamak için, gerçek zamanlı önleme, algılama ve hedeflenen kaynaklara erişim elde etmek için güvenliği ihlal edilmiş kimlik bilgilerini kötüye kullanan kimlik tabanlı saldırılara yanıt verme amacıyla oluşturulmuş bir kimlik tehdidi koruma platformunu devreye alın. Bu tür bir Kimlik Tehdit Koruması çözümü, şirket içinde ve bulutta her kullanıcı, sistem ve ortam için sürekli izleme, risk analizi ve Sıfır Güven erişim ilkelerinin gerçek zamanlı uygulanması yoluyla kimliğe dayalı saldırıları önler. Teknoloji, şirket içinde ve bulutta uçtan uca MFA koruması ve tüm kimlik doğrulamalarının sürekli izlenmesini sağlar.
Teknoloji, MFA anında bombalama saldırılarına karşı özel koruma sağlamak için uyarlanabilir engellemeyi etkinleştirir: Kısa bir süre içinde belirli sayıda reddedilen MFA isteğinden sonra, kullanıcıya artık soru sorulmaz ve istekler otomatik olarak reddedilir.
Riske dayalı politikaları koruyun
Ayrıca, kullanıcıların kısa bir süre içinde alışılmadık sayıda istek alması gibi anormal MFA etkinliği risklerini algılayan ve önleyen risk tabanlı politikalar oluşturulabilir. Bu, yöneticilerin yetkisiz kullanıcıların şirket kaynaklarına erişiminin engellenmesini sağlamasına olanak tanır.
Ayrıca bu çözüm, tüm kullanıcı kimlik doğrulama isteklerinin kötü amaçlı etkinliklerinin ve risklerinin otomatik olarak tanımlanmasını sağlar ve reddedilen her MFA isteği hakkında ayrıntılı bilgi sağlar. Yöneticiler, günlük raporlar yoluyla veya sistem günlüğü olaylarını SIEM'lerine ileterek tüm erişim isteklerini izleyebilir.
MFA Prompt Bombing gibi sosyal mühendislik saldırıları, özellikle insan zayıflıklarından yararlanmaya çalışır. Bu nedenle teknik güvenlik önlemlerinin yanı sıra çalışanlara bu tür saldırılara karşı hazırlıklı olmaları için her zaman kapsamlı bilgiler verilmelidir. Yukarıdaki önlemlerle şirketler, ani bombalı saldırılara karşı dirençlerini güçlendirebilir ve saldırganların MFA korumasını atlatmasını önemli ölçüde zorlaştırabilir.
SilverFort.com'da daha fazlası
Silverfort Hakkında Silverfort, kimliğe dayalı saldırıları azaltmak için kurumsal ağlar ve bulut ortamları genelinde IAM güvenlik kontrollerini birleştiren ilk birleşik kimlik koruma platformunu sağlar. Yenilikçi aracısız ve proxy'siz teknolojiyi kullanan Silverfort, tüm IAM çözümleriyle sorunsuz bir şekilde entegre olur, risk analizlerini ve güvenlik kontrollerini birleştirir ve kapsamlarını yerel ve eski uygulamalar, BT altyapısı, dosya sistemleri, komut satırı gibi daha önce korunamayan varlıkları kapsayacak şekilde genişletir. araçlar, makineden makineye erişim ve daha fazlası.