Новый вид атаки использует усталость пользователей для кражи аккаунтов

MFA Fatigue многофакторная аутентификация Microsoft Cisco Uber Lapsus$ Yanluowang MFA Spamming
Атака MFA Fatigue — вид социальной инженерии, который использует многофакторную аутентификацию для взлома Microsoft, Cisco и Uber.

Новый вид атаки использует усталость пользователей для кражи аккаунтов

Хакеры все чаще используют социальную инженерию, чтобы получить доступ к корпоративным учетным данным и взламывать крупные сети. Одним из компонентов этих атак является метод под названием Усталость от многофакторной аутентификации (MFA Fatigue) — это название метода, используемого злоумышленниками для заполнения приложения аутентификации пользователя push-уведомлениями в надежде, что они примут их и, следовательно, позволят злоумышленнику получить доступ к учетной записи или устройству.»
data-html=»true» data-original-title=»MFA Fatigue»
>MFA Fatigue
. При взломе корпоративных сетей хакеры обычно используют украденные учетные данные сотрудников для доступа к внутренней сети.
Что такое MFA Fatigue?
Когда Многофакторная аутентификация (МФА, англ. multi-factor authentication, MFA) — расширенная аутентификация, метод контроля доступа, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации».
К категориям таких доказательств относят:
Знание — информация, которую знает субъект. Например пароль, ПИН-код, код, контрольное слово и т.д.
Владение — вещь, которой обладает субъект. Например электронная или магнитная карта, токен, флеш-память.
Свойство, которым обладает субъект. Например биометрия, природные уникальные отличия: лицо, отпечатки пальцев, радужная оболочка глаз, последовательность ДНК.
«
data-html=»true» data-original-title=»Многофакторная аутентификация»
>многофакторная аутентификация
компании настроена на использование push-уведомлений, на мобильном устройстве сотрудника отображается запрос, когда кто-то попытается войти в систему со своими учетными данными. Эти push-уведомления просят пользователя подтвердить попытку входа и показывают, где предпринимается попытка входа.

Push-уведомление МФА
В ходе атаки MFA Fatigue злоумышленник запускает сценарий, который постоянно пытается войти в систему с украденными учетными данными, вызывая бесконечный поток push-запросов, отправляемых на мобильное устройство владельца учетной записи. Цель хакера состоит в том, чтобы поддерживать атаку днем и ночью с целью нарушить состояние кибербезопасности жертвы и вызвать чувство «усталости» от надоедливых уведомлений.
ИБ-компания Reformed IT
в видео на YouTube
продемонстрировала атаку MFA Fatigue (MFA Spamming).
Во многих случаях злоумышленники рассылают повторяющиеся уведомления МФА, а затем связываются с целью по электронной почте, через мессенджер или по телефону, выдавая себя за службу техподдержки, чтобы убедить пользователя принять запрос входа.
В конечном счете жертва случайно нажимает кнопку «Подтвердить» или просто принимает запрос, чтобы прекратить бесконечный поток уведомлений.
Эта техника социальной инженерии оказалась очень успешной и использовалась злоумышленниками Lapsus$ и Yanluowang при взломе Microsoft,
Cisco Systems, Inc. — американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Стремится представить полный спектр сетевого оборудования, и таким образом предоставить возможность клиенту закупить абсолютно все необходимое сетевое оборудование.
Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами.
Супружеская пара Леонард Босак (Leonard Bosack) и Сандра Лернер (Sandra Lerner) основала компанию Cisco Systems в 1984 году. Они работали в качестве обслуживающего компьютерного персонала в Стэнфордском университете.
В 1990 Босак и Лернер ушли из компании с $170 млн после того, как венчурные инвесторы ввели в состав правления профессиональных менеджеров.
«
data-html=»true» data-original-title=»Cisco»
>Cisco
и
Uber .
Эксперты рекомендуют сотрудникам организаций не одобрять запросы на вход, даже если уведомления приходят постоянно и в большом количестве. Также нельзя разговаривать с неизвестными людьми, утверждающими, что они сотрудники этой же компании или специалисты техподдержки.
Нужно связаться с IT-отделом организации и сообщить о возможной компрометации аккаунта и об атаке, а также изменить пароль для своей учетной записи, чтобы хакер не мог войти в систему и генерировать push-уведомления МФА.
Специалисты по безопасности рекомендуют отключить push-уведомления МФА, а если это невозможно, включить функцию
сопоставления чисел
для повышения безопасности. Эта функция отображает несколько чисел для пользователя, который пытается войти в систему со своими учетными данными. Затем эти числа необходимо ввести в приложение проверки подлинности владельца учетной записи на мобильном устройстве, чтобы убедиться, что он входит в учетную запись.

Функция проверки чисел Microsoft
Также нужно ограничить количество запросов аутентификации на каждого пользователя, а при превышении лимита заблокировать учетные записи или отправить оповещения администратору домена.
Некоторые предлагают предприятиям перейти на
аппаратные ключи безопасности
для защиты входа в систему, но другие специалисты по кибербезопасности считают, что ключи могут быть несовместимы с некоторыми онлайн-сервисами.
Издание BleepingComputer
получило рекомендации
от Microsoft, Okta, Duo и CyberArk по смягчению последствий этих атак.

SECURITYLAB.RU

Источник