詳解MFA疲勞攻擊以及防范策略

作者：劉濤 2022-11-24 09:00:00

多因素身份驗(yàn)證的推送通知過(guò)多？您可能會(huì)被黑客利用MFA疲勞攻擊作為目標(biāo)。

譯者 | 劉濤

審校 | 孫淑娟

?多因素身份驗(yàn)證的推送通知過(guò)多？您可能會(huì)被黑客利用MFA疲勞攻擊作為目標(biāo)。

越來(lái)越多的身份驗(yàn)證信息被盜事件迫使公司實(shí)施多因素身份驗(yàn)證（MFA），以保護(hù)員工免受密碼被盜的嚴(yán)重影響。但黑客現(xiàn)在正在進(jìn)行MFA疲勞攻擊，以繞過(guò)這一附加保護(hù)層。

那么，什么是MFA疲勞攻擊？這些攻擊是如何工作的？您能做些什么來(lái)保護(hù)自己？

什么是MFA疲勞攻擊？

MFA疲勞攻擊涉及不停地用MFA推送通知攻擊帳戶所有者，直到他們?cè)谛睦砩媳罎ⅲ罱K同意登錄請(qǐng)求。

一旦MFA請(qǐng)求被批準(zhǔn)，黑客就可以訪問(wèn)用戶的帳戶并隨意濫用。

這種攻擊的主要目的是發(fā)送源源不斷的MFA推送通知，給帳戶所有者造成疲勞感。

在適當(dāng)?shù)臅r(shí)候，這種MFA疲勞會(huì)使帳戶所有者無(wú)奈或被迫同意登錄請(qǐng)求，以停止MFA推送通知。

MFA疲勞攻擊的工作原理

隨著越來(lái)越多應(yīng)用程序和服務(wù)采用多因素認(rèn)證，批準(zhǔn) MFA推送通知可能成為一項(xiàng)常規(guī)任務(wù)，因?yàn)閹羲姓呙刻煨枰啻闻鷾?zhǔn) MFA請(qǐng)求。最終，每日批準(zhǔn) MFA推送通知可能會(huì)使帳戶所有者失去警惕。

此外， MFA通知不斷的攻擊可能會(huì)使帳戶所有者疲憊不堪，從而促使他們批準(zhǔn)登錄請(qǐng)求，僅僅是為了防止通知打擾。

由于賬戶持有者經(jīng)常在智能手機(jī)上使用身份驗(yàn)證的應(yīng)用程序，黑客可以24小時(shí)不間斷地攻擊這些用戶，以消磨他們的心理防線。

MFA 疲勞攻擊中會(huì)發(fā)生什么？

MFA疲勞攻擊的第一步就是獲取用戶登錄憑證。有很多破解密碼的常用方法，包括釣魚(yú)郵件、蜘蛛爬蟲(chóng)和暴力攻擊。

一旦攻擊者獲得用戶的登錄憑證，他們就會(huì)用雙重認(rèn)證提示對(duì)用戶進(jìn)行攻擊。

攻擊者希望：

用戶在登錄嘗試時(shí)會(huì)出錯(cuò)。
用戶將會(huì)被持續(xù)不斷的

MFA的疲勞攻擊是自動(dòng)化的。通常，社會(huì)工程結(jié)合 MFA的疲勞攻擊使攻擊成功。例如，目標(biāo)用戶收到一個(gè)請(qǐng)求用戶批準(zhǔn) MFA請(qǐng)求的釣魚(yú)郵件。一封網(wǎng)絡(luò)釣魚(yú)郵件還能告訴目標(biāo)，在接下來(lái)的幾天里，隨著新安全系統(tǒng)的出現(xiàn)，他們可能會(huì)接到一系列 MFA請(qǐng)求。電子郵件還會(huì)聲明，一旦帳戶所有者批準(zhǔn)登錄， MFA請(qǐng)求就會(huì)停止。

如何防止MFA疲勞攻擊

以下是一些防止MFA 疲勞攻擊的措施：

1.啟用附加關(guān)聯(lián)

在MFA請(qǐng)求中啟用附加關(guān)聯(lián)可以提供更好的安全性，并保護(hù)您免受MFA疲勞攻擊。

M?FA請(qǐng)求中的附加關(guān)聯(lián)有助于您了解哪個(gè)帳戶觸發(fā)了MFA通知、嘗試登錄的時(shí)間、用于嘗試登錄的設(shè)備以及嘗試登錄的位置。

如果您在未登錄帳戶時(shí)卻看到從陌生位置或設(shè)備觸發(fā)的多個(gè)MFA請(qǐng)求，則表明威脅者正在試圖向您發(fā)送垃圾郵件。您應(yīng)該立即更改該帳戶的密碼，并通知您的IT部門(mén)該帳戶是否與公司網(wǎng)絡(luò)綁定。

許多MFA應(yīng)用程序默認(rèn)啟用此功能。如果您的驗(yàn)證器應(yīng)用程序沒(méi)有顯示關(guān)聯(lián)內(nèi)容，請(qǐng)查看應(yīng)用程序的設(shè)置，以檢查它是否具有允許關(guān)聯(lián)內(nèi)容的選項(xiàng)。

2. 采用基于風(fēng)險(xiǎn)的認(rèn)證

使用基于風(fēng)險(xiǎn)驗(yàn)證功能的身份認(rèn)證程序有助于防御 MFA疲勞攻擊。該應(yīng)用程序能夠檢測(cè)并分析威脅信號(hào)，并根據(jù)已知攻擊模式調(diào)整安全需求。

已知的威脅模式包括登錄嘗試的異常位置，重復(fù)登錄失敗，MFA推送騷擾等等。檢查您的 MFA應(yīng)用程序是否提供基于風(fēng)險(xiǎn)的認(rèn)證，并保護(hù)它免受 MFA推送式垃圾郵件攻擊。

3.實(shí)現(xiàn)FIDO2認(rèn)證

任何一家公司采用FIDO2的認(rèn)證形式，都能預(yù)防 MFA的疲勞攻擊。

FIDO2為用戶提供基于生物特征的更短密碼認(rèn)證和多因素認(rèn)證。由于您的登錄憑證不會(huì)離開(kāi)您的設(shè)備，所以它消除了被竊取的風(fēng)險(xiǎn)，使得威脅者無(wú)法執(zhí)行 MFA通知垃圾郵件。

4.禁用推送通知作為驗(yàn)證方法

MFA推送通知功能的目的是提供簡(jiǎn)單易用的功能。帳戶所有者只需點(diǎn)擊“是”或者“允許”即可登錄它的帳戶。

MFA疲勞攻擊利用了身份認(rèn)證的這個(gè)功能。在驗(yàn)證器應(yīng)用程序中禁用這些簡(jiǎn)單的推送通知作為驗(yàn)證方法，可以有效地提高 MFA的安全性。

以下是一些可以用于驗(yàn)證MFA請(qǐng)求的方法：

數(shù)字匹配。
挑戰(zhàn)與回應(yīng)。
基于時(shí)間的一次性密碼

使用數(shù)字匹配或時(shí)間一次性密碼作為核實(shí)方法的優(yōu)點(diǎn)是，用戶不會(huì)意外地批準(zhǔn)多邊金融協(xié)議的要求，他們需要完成核實(shí)程序所需要的必要信息。

檢查您的身份認(rèn)證應(yīng)用程序，以了解哪些 MFA 驗(yàn)證功能可以使用，而不是簡(jiǎn)單的推送通知，提示用戶點(diǎn)擊“是”或“允許”批準(zhǔn)登錄嘗試。

5.限制身份驗(yàn)證請(qǐng)求

限制驗(yàn)證器應(yīng)用程序中的登錄請(qǐng)求數(shù)量有助于防止即時(shí)轟炸或MFA疲勞。但并不是所有的驗(yàn)證器都提供此功能。

檢查您的MFA驗(yàn)證器是否允許您限制身份驗(yàn)證請(qǐng)求；之后，該帳戶將被阻止。

6.圍繞MFA傳播安全意識(shí)

如果您經(jīng)營(yíng)一家公司，預(yù)防MFA疲勞攻擊的最佳方法是安全意識(shí)培訓(xùn)。確保您的員工知道MFA疲勞攻擊發(fā)生時(shí)是什么樣子的，以及發(fā)生時(shí)該怎么辦。此外，他們應(yīng)該能夠發(fā)現(xiàn)釣魚(yú)電子郵件，請(qǐng)求他們批準(zhǔn)MFA請(qǐng)求。

定期對(duì)員工進(jìn)行最好的網(wǎng)絡(luò)安全實(shí)踐培訓(xùn)，對(duì)保護(hù)個(gè)人賬戶有很大幫助。