飞鱼博客多因素身份验证的推送通知过多?您可能会被黑客利用MFA疲劳攻击作为目标。
越来越多的身份验证信息被盗事件迫使公司实施多因素身份验证(MFA),以保护员工免受密码被盗的严重影响。但黑客现在正在进行MFA疲劳攻击,以绕过这一附加保护层。
那么,什么是MFA疲劳攻击?这些攻击是如何工作的?您能做些什么来保护自己?
MFA疲劳攻击涉及不停地用MFA推送通知攻击帐户所有者,直到他们在心理上崩溃,最终同意登录请求。
一旦MFA请求被批准,黑客就可以访问用户的帐户并随意滥用。
这种攻击的主要目的是发送源源不断的MFA推送通知,给帐户所有者造成疲劳感。
在适当的时候,这种MFA疲劳会使帐户所有者无奈或被迫同意登录请求,以停止MFA推送通知。
随着越来越多应用程序和服务采用多因素认证,批准 MFA推送通知可能成为一项常规任务,因为帐户所有者每天需要多次批准 MFA请求。最终,每日批准 MFA推送通知可能会使帐户所有者失去警惕。
此外, MFA通知不断的攻击可能会使帐户所有者疲惫不堪,从而促使他们批准登录请求,仅仅是为了防止通知打扰。
由于账户持有者经常在智能手机上使用身份验证的应用程序,黑客可以24小时不间断地攻击这些用户,以消磨他们的心理防线。
MFA疲劳攻击的第一步就是获取用户登录凭证。有很多破解密码的常用方法,包括钓鱼邮件、蜘蛛爬虫和暴力攻击。
一旦攻击者获得用户的登录凭证,他们就会用双重认证提示对用户进行攻击。
攻击者希望:
- 用户在登录尝试时会出错。
- 用户将会被持续不断的
MFA的疲劳攻击是自动化的。通常,社会工程结合 MFA的疲劳攻击使攻击成功。例如,目标用户收到一个请求用户批准 MFA请求的钓鱼邮件。一封网络钓鱼邮件还能告诉目标,在接下来的几天里,随着新安全系统的出现,他们可能会接到一系列 MFA请求。电子邮件还会声明,一旦帐户所有者批准登录, MFA请求就会停止。
以下是一些防止MFA 疲劳攻击的措施:
以下是一些防止MFA 疲劳攻击的措施:
在MFA请求中启用附加关联可以提供更好的安全性,并保护您免受MFA疲劳攻击。
MFA请求中的附加关联有助于您了解哪个帐户触发了MFA通知、尝试登录的时间、用于尝试登录的设备以及尝试登录的位置。
如果您在未登录帐户时却看到从陌生位置或设备触发的多个MFA请求,则表明威胁者正在试图向您发送垃圾邮件。您应该立即更改该帐户的密码,并通知您的IT部门该帐户是否与公司网络绑定。
许多MFA应用程序默认启用此功能。如果您的验证器应用程序没有显示关联内容,请查看应用程序的设置,以检查它是否具有允许关联内容的选项。
使用基于风险验证功能的身份认证程序有助于防御 MFA疲劳攻击。该应用程序能够检测并分析威胁信号,并根据已知攻击模式调整安全需求。
已知的威胁模式包括登录尝试的异常位置,重复登录失败,MFA推送骚扰等等。检查您的 MFA应用程序是否提供基于风险的认证,并保护它免受 MFA推送式垃圾邮件攻击。
任何一家公司采用FIDO2的认证形式,都能预防 MFA的疲劳攻击。
FIDO2为用户提供基于生物特征的更短密码认证和多因素认证。由于您的登录凭证不会离开您的设备,所以它消除了被窃取的风险,使得威胁者无法执行 MFA通知垃圾邮件。
MFA推送通知功能的目的是提供简单易用的功能。帐户所有者只需点击“是”或者“允许”即可登录它的帐户。
MFA疲劳攻击利用了身份认证的这个功能。在验证器应用程序中禁用这些简单的推送通知作为验证方法,可以有效地提高 MFA的安全性。
以下是一些可以用于验证MFA请求的方法:
- 数字匹配。
- 挑战与回应。
- 基于时间的一次性密码
使用数字匹配或时间一次性密码作为核实方法的优点是,用户不会意外地批准多边金融协议的要求,他们需要完成核实程序所需要的必要信息。
检查您的身份认证应用程序,以了解哪些 MFA 验证功能可以使用,而不是简单的推送通知,提示用户点击“是”或“允许”批准登录尝试。
限制验证器应用程序中的登录请求数量有助于防止即时轰炸或MFA疲劳。但并不是所有的验证器都提供此功能。
检查您的MFA验证器是否允许您限制身份验证请求;之后,该帐户将被阻止。
如果您经营一家公司,预防MFA疲劳攻击的最佳方法是安全意识培训。确保您的员工知道MFA疲劳攻击发生时是什么样子的,以及发生时该怎么办。此外,他们应该能够发现钓鱼电子邮件,请求他们批准MFA请求。
定期对员工进行最好的网络安全实践培训,对保护个人账户有很大帮助。
多因素身份验证为您的帐户增加了额外的安全层。它将保护您的帐户,即使威胁者可以访问您的登录凭据。但您仍应小心MFA疲劳攻击。这可能很烦人,但请不要屈服。
