详解MFA疲劳攻击以及防范策略

译文 精选
安全 应用安全
多因素身份验证的推送通知过多?您可能会被黑客利用MFA疲劳攻击作为目标。

译者 | 刘涛

审校 | 孙淑娟

​多因素身份验证的推送通知过多?您可能会被黑客利用MFA疲劳攻击作为目标。

越来越多的身份验证信息被盗事件迫使公司实施多因素身份验证(MFA),以保护员工免受密码被盗的严重影响。但黑客现在正在进行MFA疲劳攻击,以绕过这一附加保护层。

那么,什么是MFA疲劳攻击?这些攻击是如何工作的?您能做些什么来保护自己?

什么是MFA疲劳攻击?

MFA疲劳攻击涉及不停地用MFA推送通知攻击帐户所有者,直到他们在心理上崩溃,最终同意登录请求。

一旦MFA请求被批准,黑客就可以访问用户的帐户并随意滥用。

这种攻击的主要目的是发送源源不断的MFA推送通知,给帐户所有者造成疲劳感。

在适当的时候,这种MFA疲劳会使帐户所有者无奈或被迫同意登录请求,以停止MFA推送通知。

MFA疲劳攻击的工作原理

随着越来越多应用程序和服务采用多因素认证,批准 MFA推送通知可能成为一项常规任务,因为帐户所有者每天需要多次批准 MFA请求。最终,每日批准 MFA推送通知可能会使帐户所有者失去警惕。

此外, MFA通知不断的攻击可能会使帐户所有者疲惫不堪,从而促使他们批准登录请求,仅仅是为了防止通知打扰。

由于账户持有者经常在智能手机上使用身份验证的应用程序,黑客可以24小时不间断地攻击这些用户,以消磨他们的心理防线。

MFA 疲劳攻击中会发生什么?

MFA疲劳攻击的第一步就是获取用户登录凭证。有很多破解密码的常用方法,包括钓鱼邮件、蜘蛛爬虫和暴力攻击。

一旦攻击者获得用户的登录凭证,他们就会用双重认证提示对用户进行攻击。

攻击者希望:

  • 用户在登录尝试时会出错。
  • 用户将会被持续不断的

MFA的疲劳攻击是自动化的。通常,社会工程结合 MFA的疲劳攻击使攻击成功。例如,目标用户收到一个请求用户批准 MFA请求的钓鱼邮件。一封网络钓鱼邮件还能告诉目标,在接下来的几天里,随着新安全系统的出现,他们可能会接到一系列 MFA请求。电子邮件还会声明,一旦帐户所有者批准登录, MFA请求就会停止。

如何防止MFA疲劳攻击

以下是一些防止MFA 疲劳攻击的措施:

1.启用附加关联

在MFA请求中启用附加关联可以提供更好的安全性,并保护您免受MFA疲劳攻击。

M​FA请求中的附加关联有助于您了解哪个帐户触发了MFA通知、尝试登录的时间、用于尝试登录的设备以及尝试登录的位置。

如果您在未登录帐户时却看到从陌生位置或设备触发的多个MFA请求,则表明威胁者正在试图向您发送垃圾邮件。您应该立即更改该帐户的密码,并通知您的IT部门该帐户是否与公司网络绑定。

许多MFA应用程序默认启用此功能。如果您的验证器应用程序没有显示关联内容,请查看应用程序的设置,以检查它是否具有允许关联内容的选项。

2. 采用基于风险的认证

使用基于风险验证功能的身份认证程序有助于防御 MFA疲劳攻击。该应用程序能够检测并分析威胁信号,并根据已知攻击模式调整安全需求。

已知的威胁模式包括登录尝试的异常位置,重复登录失败,MFA推送骚扰等等。检查您的 MFA应用程序是否提供基于风险的认证,并保护它免受 MFA推送式垃圾邮件攻击。

3.实现FIDO2认证

任何一家公司采用FIDO2的认证形式,都能预防 MFA的疲劳攻击。

FIDO2为用户提供基于生物特征的更短密码认证和多因素认证。由于您的登录凭证不会离开您的设备,所以它消除了被窃取的风险,使得威胁者无法执行 MFA通知垃圾邮件。

4.禁用推送通知作为验证方法

MFA推送通知功能的目的是提供简单易用的功能。帐户所有者只需点击“是”或者“允许”即可登录它的帐户。

MFA疲劳攻击利用了身份认证的这个功能。在验证器应用程序中禁用这些简单的推送通知作为验证方法,可以有效地提高 MFA的安全性。

以下是一些可以用于验证MFA请求的方法:

  • 数字匹配。
  • 挑战与回应。
  • 基于时间的一次性密码

使用数字匹配或时间一次性密码作为核实方法的优点是,用户不会意外地批准多边金融协议的要求,他们需要完成核实程序所需要的必要信息。

检查您的身份认证应用程序,以了解哪些 MFA 验证功能可以使用,而不是简单的推送通知,提示用户点击“是”或“允许”批准登录尝试。

5.限制身份验证请求

限制验证器应用程序中的登录请求数量有助于防止即时轰炸或MFA疲劳。但并不是所有的验证器都提供此功能。

检查您的MFA验证器是否允许您限制身份验证请求;之后,该帐户将被阻止。

6.围绕MFA传播安全意识

如果您经营一家公司,预防MFA疲劳攻击的最佳方法是安全意识培训。确保您的员工知道MFA疲劳攻击发生时是什么样子的,以及发生时该怎么办。此外,他们应该能够发现钓鱼电子邮件,请求他们批准MFA请求。

定期对员工进行最好的网络安全实践培训,对保护个人账户有很大帮助。

不要陷入误区

多因素身份验证为您的帐户增加了额外的安全层。它将保护您的帐户,即使威胁者可以访问您​的登录凭据。但您仍应小心MFA疲劳攻击。这可能很烦人,但请不要屈服。

译者介绍

刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人。

原文标题:What Is an MFA Fatigue Attack and How Can You Protect Against It?​,作者:SANDEEP BABU​

责任编辑:华轩 来源: 51CTO
相关推荐

2020-02-17 16:52:06

误植攻击网络攻击网络安全

2021-01-11 10:45:16

勒索软件Egregor病毒

2022-07-31 00:12:08

Deepfakes数据图像

2020-11-30 23:37:48

ReactXSS攻击网络攻击

2021-01-19 11:08:13

黑客多因素认证MFA

2022-02-23 15:43:31

网络钓鱼攻击MFA

2021-04-09 08:11:30

网络钓鱼攻击eSentire

2022-11-02 11:42:02

2022-04-02 11:17:43

勒索软件网络安全网络攻击

2022-04-14 15:28:46

安全勒索软件赎金

2022-05-09 10:15:06

勒索软件网络攻击网络安全

2021-12-30 09:38:51

DDoS攻击防范

2020-11-18 08:00:00

安全数据勒索软件

2022-10-25 12:09:13

2021-04-30 08:47:34

数据中毒攻击勒索软件

2021-05-13 23:39:19

勒索软件攻击数据泄露

2020-07-21 10:59:49

网络安全IT技术

2021-03-02 16:01:54

BEC攻击“社工”邮件红杉资本

2020-06-02 09:50:40

信息安全数据技术

2022-08-12 07:01:00

Node.jsXSS脚本
点赞
收藏

51CTO技术栈公众号