MFA Prompt Bombing — це ефективний метод атаки, який використовують зловмисники для отримання доступу до системи, захищеної багатофакторною автентифікацією (MFA). Зловмисник надсилає користувачеві велику кількість запитів на схвалення MFA, щоб перевантажити його запитами. Один невірний клік і зловмисник отримує доступ.
Незалежно від рівня переслідування MFA Prompt Bombing, мета полягає в тому, щоб користувач прийняв запит MFA та надав доступ до облікових записів або надав можливість запустити шкідливий код у цільовій системі. Індустрія безпеки розглядає миттєві бомбардування MFA як форму соціальної інженерії. Цей добре відомий вектор атаки набув популярності серед зловмисників лише за останні два роки, але багато користувачів і команд безпеки досі не знають про цю техніку атаки.
Оперативне бомбардування МЗС в дії
Одну з найвідоміших успішних атак MFA Prompt Bombing здійснила хакерська група Lapsus$. Їхні дії підкреслили слабкі сторони певних налаштувань, зокрема push-повідомлень. Під час останніх успішних атак хакерська група бомбардувала користувачів запитами, поки жертви врешті-решт не дозволили доступ. Група також скористалася можливістю постачальників MFA дозволити співробітникам отримувати телефонний дзвінок на авторизований пристрій для автентифікації та натискати певну клавішу як другий фактор.
Заява, опублікована членом Lapsus$ у каналі чату групи в Telegram, ілюструє нахабну тактику кіберзлочинців: «Немає обмежень на кількість дзвінків, які ви можете зробити. Якщо ви зателефонуєте співробітнику 100 разів о першій ночі, коли він намагається заснути, він, швидше за все, прийме. Коли агент відповість на перший дзвінок, ви зможете отримати доступ до порталу реєстрації MFA та зареєструвати інший пристрій».
Баланс між зручністю використання та безпекою
У зв’язку зі зростаючою популярністю атак швидкого бомбардування MFA деякі організації вирішили вимкнути push-повідомлення для запитів автентифікації та замість цього застосувати одноразові паролі (OTP). Вони мають на меті ускладнити зловмисникам доступ до конфіденційної інформації та ресурсів, але призводять до погіршення взаємодії з користувачем, оскільки користувачі повинні надавати додаткову інформацію для входу, наприклад цифровий код, надісланий через SMS.
Хоча OTP може бути дещо безпечнішим, ніж push-сповіщення, це погіршує взаємодію з користувачем. Компанії повинні бути обережними, щоб знайти правильний баланс між зручністю використання та безпекою.
Що можуть зробити підприємства проти миттєвих бомбардувань МЗС
Замість переходу на OTP краще автоматично забороняти push-сповіщення MFA, коли перевищено певну кількість сповіщень. Таким чином, у разі атаки кінцевий користувач отримає лише кілька повідомлень MFA, тоді як команда безпеки буде попереджена про потоки запитів MFA у журналах активності користувача за лаштунками.
Коли справа доходить до пошуку потрібного рівня безпеки та простоти використання для захисту MFA, push-сповіщення все ще є рекомендованим рішенням. Однак їх слід впроваджувати з належними заходами безпеки.
Комплексний захист ідентичності
Щоб забезпечити повний захист ідентифікаційної інформації, розгорніть платформу захисту від загроз ідентифікаційної інформації, яка спеціально створена для запобігання в режимі реального часу, виявлення та реагування на атаки на основі ідентифікаційної інформації, які неправильно використовують скомпрометовані облікові дані для отримання доступу до цільових ресурсів. Таке рішення Identity Threat Protection запобігає атакам на основі ідентифікаційних даних шляхом постійного моніторингу, аналізу ризиків і застосування в режимі реального часу політик доступу Zero Trust для кожного користувача, системи та середовища локально та в хмарі. Технологія забезпечує наскрізний захист MFA і безперервний моніторинг усіх автентифікацій локально та в хмарі.
Щоб забезпечити спеціальний захист від миттєвих бомбових атак MFA, технологія вмикає адаптивне блокування: після певної кількості відхилених запитів MFA протягом короткого періоду часу користувач більше не запитує, і запити автоматично відхиляються.
Захистіть політику, засновану на ризиках
Крім того, можна створювати політики на основі оцінки ризиків, які виявляють і запобігають ризикам аномальної діяльності MFA, наприклад, коли користувачі отримують незвичайну кількість запитів за короткий проміжок часу. Це дозволяє адміністраторам переконатися, що неавторизованим користувачам заблоковано доступ до ресурсів компанії.
Крім того, це рішення дозволяє автоматично ідентифікувати зловмисну діяльність і ризики всіх запитів на автентифікацію користувачів і надає детальну інформацію про кожен відхилений запит MFA. Адміністратори можуть відстежувати всі запити на доступ за допомогою щоденних звітів або пересилання подій системного журналу до своєї SIEM.
Атаки соціальної інженерії, такі як MFA Prompt Bombing, спеціально намагаються використати людські слабкості. Тому, окрім технічних заходів безпеки, працівники завжди повинні отримувати вичерпну інформацію, щоб вони були готові до такого типу атаки. Завдяки зазначеним вище заходам компанії можуть посилити свою стійкість проти миттєвих бомбових атак і значно ускладнити зловмисникам обхід захисту MFA.
Більше на SilverFort.com
Про Сільверфорт Silverfort надає першу уніфіковану платформу захисту ідентифікаційної інформації, яка консолідує елементи керування безпекою IAM у корпоративних мережах і хмарних середовищах для пом’якшення атак на основі ідентифікаційної інформації. Використовуючи інноваційну технологію без агентів і проксі, Silverfort легко інтегрується з усіма рішеннями IAM, уніфікуючи їх аналіз ризиків і засоби контролю безпеки та розширюючи їх охоплення на активи, які раніше не могли бути захищені, такі як власні та застарілі програми, ІТ-інфраструктура, файлові системи, командний рядок інструменти, міжмашинний доступ тощо.