Οι χάκερ συνήθως χρησιμοποιούν επιθέσεις social engineering για να αποκτήσουν πρόσβαση σε εταιρικά credentials και να παραβιάσουν μεγάλα δίκτυα. Ένα στοιχείο αυτών των επιθέσεων που γίνεται όλο και πιο δημοφιλές με την άνοδο του ελέγχου ταυτοποίησης πολλαπλών παραγόντων είναι μια τεχνική που ονομάζεται MFA Fatigue.
Δείτε επίσης: Οι Αμερικανικές επιχειρήσεις βιώνουν 42 κυβερνοεπιθέσεις ετησίως
Όταν παραβιάζουν εταιρικά δίκτυα, οι χάκερ χρησιμοποιούν συνήθως κλεμμένα login credentials υπαλλήλων για πρόσβαση σε VPNs και στο εσωτερικό δίκτυο.
Η πραγματικότητα είναι ότι η απόκτηση εταιρικών credentials δεν είναι εξαιρετικά δύσκολη για τους απειλητικούς παράγοντες, οι οποίοι μπορούν να χρησιμοποιήσουν διάφορες μεθόδους, όπως επιθέσεις phishing, κακόβουλο λογισμικό, credentials που διέρρευσαν από παραβιάσεις δεδομένων ή την αγορά τους σε αγορές dark web.
Εξαιτίας αυτού, οι επιχειρήσεις έχουν υιοθετήσει ολοένα και περισσότερο τον έλεγχο ταυτοποίησης πολλαπλών παραγόντων για να εμποδίσουν τους χρήστες να συνδεθούν σε ένα δίκτυο χωρίς προηγουμένως να εισάγουν μια πρόσθετη μορφή επαλήθευσης. Αυτές οι πρόσθετες πληροφορίες μπορεί να είναι ένας κωδικός πρόσβασης μίας χρήσης, μια προτροπή που σας ζητά να επαληθεύσετε την προσπάθεια σύνδεσης ή τη χρήση κλειδιών hardware security.
Δείτε επίσης: Revolut hack: Αποκαλύπτει data 50.000 χρηστών, τροφοδοτεί νέο κύμα phishing
Ενώ οι απειλητικοί φορείς μπορούν να χρησιμοποιήσουν πολλές μεθόδους για να παρακάμψουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων, οι περισσότεροι περιστρέφονται γύρω από την κλοπή cookies μέσω malware ή πλαισίων επίθεσης man-in-the-middle phishing, όπως το evilginx2.
Ωστόσο, μια τεχνική social engineering που ονομάζεται «MFA Fatigue», γνωστή και ως «MFA push spam», αυξάνεται σε δημοτικότητα μεταξύ των απειλητικών παραγόντων, καθώς δεν απαιτεί υποδομή malware ή phishing και έχει διαπιστωθεί ότι είναι επιτυχής σε επιθέσεις.
Τι είναι το MFA Fatigue;
Όταν ο έλεγχος ταυτοποίησης πολλαπλών παραγόντων ενός οργανισμού έχει ρυθμιστεί ώστε να χρησιμοποιεί ειδοποιήσεις “push”, θα εμφανίζεται ένα μήνυμα προτροπής στην κινητή συσκευή ενός υπαλλήλου όταν κάποιος προσπαθεί να συνδεθεί με τα credentials του. Αυτές οι ειδοποιήσεις MFA push ζητούν από τον χρήστη να επαληθεύσει την προσπάθεια σύνδεσης και θα δείξει πού επιχειρείται η σύνδεση, όπως φαίνεται παρακάτω.
Μια επίθεση MFA Fatigue είναι όταν ένας απειλητικός παράγοντας εκτελεί ένα script που επιχειρεί να συνδεθεί με κλεμμένα credentials ξανά και ξανά, προκαλώντας την αποστολή μιας ατελείωτης ροής αιτημάτων push MFA στην κινητή συσκευή του κατόχου του λογαριασμού.
Ο στόχος είναι να διατηρηθεί αυτό, μέρα και νύχτα ώσπου να κουραστεί ο στόχος με αυτές τις προτροπές MFA.
Δείτε επίσης: VMware & Microsoft προειδοποιούν για μια διαδεδομένη καμπάνια Chromeloader malware
Μια επίδειξη επίθεσης MFA Fatigue ή MFA spam, μπορείτε να δείτε σε αυτό το YouTube video που δημιουργήθηκε από την εταιρεία υποστήριξης κυβερνοασφάλειας Reformed IT.
Σε πολλές περιπτώσεις, οι απειλητικοί φορείς θα προωθήσουν επαναλαμβανόμενες ειδοποιήσεις MFA και στη συνέχεια θα επικοινωνήσουν με τον στόχο μέσω email, πλατφορμών ανταλλαγής μηνυμάτων ή μέσω τηλεφώνου, προσποιούμενοι ότι είναι IT support για να πείσουν τον χρήστη να αποδεχτεί την προτροπή MFA.
Τελικά, οι στόχοι κατακλύζονται με τόσες ειδοποιήσεις που κάνουν κατά λάθος κλικ στο κουμπί «Έγκριση» ή απλώς αποδέχονται το αίτημα MFA για να τερματίσουν την ατελείωτη ροή ειδοποιήσεων που λαμβάνουν στο τηλέφωνό τους.
Αυτός ο τύπος τεχνικής social engineer έχει αποδειχθεί πολύ επιτυχημένος από τους απειλητικούς παράγοντες Lapsus$ και Yanluowang όταν παραβιάζουν μεγάλους και γνωστούς οργανισμούς, όπως η Microsoft, η Cisco και τώρα η Uber.
Επομένως, εάν είστε υπάλληλος που είστε στόχος επίθεσης MFA Fatigue/Spam και λαμβάνετε ένα ατελείωτο κύμα ειδοποιήσεων push MFA, μην πανικοβληθείτε, μην εγκρίνετε το αίτημα MFA και μην μιλήσετε με άγνωστα άτομα που ισχυρίζονται ότι είναι από τον οργανισμό σας.
Αντίθετα, επικοινωνήστε με τους γνωστούς IT admins για την εταιρεία σας, το τμήμα IT ή τους προϊσταμένους σας και εξηγήστε ότι πιστεύετε ότι ο λογαριασμός σας έχει παραβιαστεί και δέχεται επίθεση. Θα πρέπει επίσης να αλλάξετε τον κωδικό πρόσβασης για τον λογαριασμό σας, εάν είναι δυνατόν, για να αποτρέψετε τον χάκερ από το να συνεχίσει να συνδέεται και να δημιουργεί περαιτέρω ειδοποιήσεις MFA push.
Μόλις αλλάξει ο κωδικός πρόσβασής σας, ο απειλητικός παράγοντας δεν θα μπορεί πλέον να εκδίδει MFA spam, δίνοντας σε εσάς και τους διαχειριστές σας χώρο να αναπνεύσετε όσο διερευνάται το compromise.
Πηγή πληροφοριών: bleepingcomputer.com
