MFA-Fatigue, eller MFA-spamming som vi också kan kalla det, är en typ av attack som vi ser mer och mer av på sistone. Metoden används mot organisationer som använder push-notiser till en mobiltelefon som sin tvåstegsverifiering. Anledningar att den har ökat i popularitet kan vara att angripare inte behöver någon malware eller phishing-infrastruktur för en attack. I stället använder de enkla scripts och stulna inloggningsuppgifter och promptar en användares tvåstegsverifiering om och om igen, dag och natt, tills de godkänner den. Angripare kan till och med, med en stor portion tålamod, göra det manuellt genom att sitta och försöka logga in om och om igen på någons konto. Det är med andra ord en metod som är lätt för någon med ont uppsåt att genomföra.
Vad är MFA-Fatigue?
Även för organisationer som har system på plats för att undvika att stulna inloggningsuppgifter används kan metoden kombineras med lösenordsspraying, där angripare provar vanliga lösenord på många konton tills de hittar en match. Det kan låta otroligt att en sådan här attack fungerar, för vem godkänner ens en prompt de inte känner till? Men det händer, oftare än man tror. Det kan bero på att man är distraherad och inte tänker på vad man gör, att man själv försöker autentisera samtidigt och inte kontrollerar uppgifterna tillräckligt eller att man tror att det är en bugg av något slag. Det är såklart större chans att en sådan här attack lyckas mot verksamheter som använder MFA men som inte har Single sign-on för alla sina tjänster. När användare behöver autentisera med MFA många gånger under en arbetsdag blir det lättare att man godkänner en olovlig push-notifiering när de själva försöker logga in.
Vad kan du göra för att skydda dig?
Det bästa alternativet vore att byta MFA-lösning till något som är phishing-säkert. Det skulle till exempel kunna vara Beyond Identitys certifikatbaserade MFA-lösning, eller att använda passkeys, ett mycket säkrare alternativ till lösenord som är direkt kopplat till ett användarkonto och en webbplats eller applikation. Det skulle vara en ganska stor förändring för din verksamhet så behövs det en snabbare lösning finns även där en del alternativ:
- Många MFA-lösningar erbjuder en inställning där man kan sätta ett maxantal notifieringar per timme vilket kan lösa spamming-delen av problemet
- För att säkerställa att en användare bara bekräftar korrekta MFA-notifieringar kan man i de flesta MFA-appar ställa in att användaren ser en sifferkod på skärmen och klickar på matchande siffror på sin telefon. På detta sätt blir det väldigt svårt för en angripare.
Om du har upplevt en sådan här attack, eller vill se över dina möjligheter att vara proaktiv och skydda din verksamhet, så hjälper vi på Advania dig gärna.
Källhänvisning
[1] https://www.techtarget.com/searchsecurity/feature/Ransomware-trends-statistics-and-facts
