Что такое MFA-усталость и как злоумышленники пытаются украсть аккаунты с ее помощью?

22 сентября, 2022  13:20

Злоумышленники нередко прибегают к методам так называемой социальной инженерии для получения доступа к учетным записям и для взлома крупных сетей. Техника под названием «MFA-усталость» (MFA Fatigue) – один из элементов таких атак, и в последнее время она становится все более популярной среди хакеров.

При взломе корпоративных сетей для получения доступа к VPN и внутренней сети злоумышленники обычно используют украденные учетные данные сотрудников. Получить эти данные не так сложно, как может показаться неосведомленному человеку: хакеры используют для этого фишинговые атаки, вредоносное ПО, утечку учетных данных из-за уязвимостей в системе или из-за покупок на торговых площадках даркнета.

Для защиты корпоративной сети многие уважающие себя компании применяют многофакторную аутентификацию (multi-factor authentication, MFA), чтобы пользователи не могли входить в сеть без дополнительной формы проверки, которая может представлять собой одноразовый код доступа, запрос на подтверждение попытки входа и т.д.

Хакеры могут использовать множество методов для обхода многофакторной аутентификации: большинство из них связано с кражей файлов cookie с помощью вредоносных программ или средств фишинговых атак. Однако в последнее время, как уже отмечалось выше, все популярнее становится метод MFA-усталости, называемый также «MFA push spam», ведь он не требует ни вредоносного ПО, ни фишинговой инфраструктуры, а эффективность метода достаточно высокая.

Что такое MFA-усталость?

Как рассказывает Bleepingcomputer.com, если организация настраивает многофакторную аутентификацию на отправку пуш-уведомлений, сотрудник получает на своем мобильном устройстве уведомления о том, что кто-то пытается войти в сеть с его учетными данными. Сотрудник может либо подтвердить вход, либо отклонить его (см. скриншот ниже).

mfa-push-notification-prompt.png (212 KB)

В ходе атаки «MFA Fatigue» злоумышленник запускает скрипт, который много раз пытается подключиться к сети с помощью скомпрометированных логинов и паролей. В результате, на мобильное устройство сотрудника приходит бесконечное число уведомлений.

Задача атакующих – сделать так, чтобы жертва устала от приходящих день и ночь уведомлений, и чтобы ее бдительность касательно кибербезопасности притупилась.

Наглядную демонстрацию использования этого метода можно увидеть в видеоролике:

Во многих случаях злоумышленники рассылают повторяющиеся уведомления MFA, после чего связываются с потенциальной жертвой по электронной почте, мессенджеру или телефону, выдают себя за сотрудников службы поддержки и пытаются убедить пользователя принять запрос MFA.

Уставшая от постоянных уведомлений жертва может случайно нажать кнопку «Подтвердить» или просто принять запрос MFA, чтобы остановить поток уведомлений, которые она получала на телефон.

Именно этот метод использовали хакеры Lapsus$ и Yanluowang для взлома Microsoft, Cisco, а также Uber.

Что делать, если вас атакуют с использованием MFA Fatigue?

Если вы стали жертвой атаки с использованием метода MFA Fatigue и получаете шквал push-уведомлений MFA:

  • Не паникуйте!
  • Ни в коем случае не подтверждайте запрос MFA в надежде остановить поток уведомлений!
  • Не разговаривайте с незнакомыми людьми, утверждающими, что они от вашей организации или же представляют службу поддержки!

Что же тогда делать?

  • Первым делом, свяжитесь с ИТ-администраторами вашей компании или с вашими руководителями и объясните ситуацию.
  • Измените пароль для своей учетной записи, чтобы хакер не мог продолжать входить в систему и генерировать дальнейшие push-уведомления MFA.
  • Как только ваш пароль будет изменен, хакер больше не сможет рассылать спам MFA, что даст вам и администраторам возможность начать спокойно расследовать ситуацию, чтобы понять, как и когда ваши данные были скомпрометированы.

Для повышения уровня безопасности корпоративной сети специалисты рекомендуют отключить push-уведомления MFA, а если сделать это невозможно, можно включить функцию сопоставления чисел для повышения безопасности.  

Также можно ограничить количество запросов аутентификации на каждого пользователя, а если лимит будет превышен, заблокировать учетные записи и оповестить администратора.

Некоторые специалисты предлагают предприятиям перейти на аппаратные ключи безопасности для защиты входа в систему, однако проблема в том, что такие ключи могут быть несовместимы с некоторыми онлайн-сервисами.


 
 
 
 
  • Архив