Multifaktor autentisering (MFA) är inte nytt men det har blivit mer framträdande med uppkomsten av distansarbete och hotaktörer utforskar nya sätt att ta sig igenom denna försvarslinje. Hotaktörer föredrar att manipulera människor för att kringgå MFA-kontroller genom att använda olika typer av nätfiske och social ingenjörstaktik. Enligt Verizon Data Breach Investigations Report 2022 så involverade 82 % av intrången under 2021 ett mänskligt element.
Identitetssäkerhetsluckor i nätverksinfrastruktur banar väg för hotaktörer att få kontroll över högriskidentiteter och bryta sig in i nätverk. En populär taktik bland hotaktörer för att kringgå MFA är MFA-fatigue. Läs vidare för att lära dig vad MFA-fatigue är, hur det fungerar och vad organisationer kan göra för att skydda sig mot denna typ av attack.
Vad är MFA?
Att skaffa användarnamn och lösenord är inte svårt för hotaktörer. Som namnet antyder kräver MFA inte bara en utan två eller flera autentiseringsfaktorer, som e-post, SMS eller OTP (one time password)-verifiering. Denna kombination gör autentiseringsprocessen säkrare eftersom det är mindre troligt att en angripare knäcker flera faktorer.
Vad är MFA-fatigue?
MFA-fatigue, även känd som MFA-prompt bombing, är en teknik som används av angripare för att spamma en användares autentiseringsapp med upprepade MFA-push-meddelanden och irritera användaren tills de så småningom godkänner begäran. Målet är att ge användarna en känsla av trötthet med en oändlig störtflod av push-förfrågningar.
När fortlöpande meddelanden rullar in, vilket gör det omöjligt för användaren att använda sin telefon till något annat, driver tröttheten i slutändan mottagaren att godkänna begäran, antingen medvetet eller omedvetet. MFA fatigue följer en brute force-strategi för att kringgå MFA:s säkerhetskontroller.
Hur fungerar MFA-fatigue?
- Hotaktören har redan skaffat användaruppgifterna på andra sätt såsom nätfiske eller inloggningsuppgifter, alternativt så har hotaktören hittat dem på dark web.
- Hotaktören försöker nu logga in på användarkontot med de stulna inloggningsuppgifterna.
- Om användarkontot är MFA-aktiverat gör angriparen upprepade inloggningsförsök och skickar ut en mängd MFA-förfrågningar.
- Angriparen kan också skicka en autentiseringslänk via e-post eller SMS och låtsas vara någon från organisationens administration eller IT-team.
- Den frustrerade användaren klickar av misstag på någon av dessa länkar eller trycker på Godkänn istället för Neka i förfrågningsfönstret.
Det är allt som krävs för att göra MFA-fatigue framgångsrik för hotaktörer.
Senaste MFA fatigue attackerna
MFA-fatigue har blivit allt vanligare på senare tid och har visat sig vara givande för hotaktörer att utföra dessa på stora organisationer som Microsoft, Cisco och Uber. 2021 bombarderade ryska aktörer Microsoft 365-användare med push-meddelanden i ett försök att kringgå MFA.
I Cisco-intrånget i augusti 2022 stal angriparen interna nätverksuppgifter som en anställd hade synkroniserat med Google Chrome. Hotaktören försökte sedan låtsas ringa från olika pålitliga källor tills den Cisco-anställde till slut övertygades om att acceptera push-meddelandet.
I Uber-intrånget i september 2022 sa en 18-årig hacker att han spammade en Uber-anställd i över en timme, kontaktade denna senare på WhatsApp och påstod sig vara från Ubers IT-team och berättade för den anställde att hen skulle behöva acceptera begäran för att få stopp på aviseringarna. Den anställde accepterade sedan begäran och angriparen tog sig framgångsrikt in i Ubers interna servrar.
Vad organisationer kan göra för att stärka sin MFA
När det gäller att förhindra MFA-fatigue är det viktigaste att hålla sig uppdaterad på de olika metoderna som hotaktörer använder för att göra intrång. Nedan kan du ta del av några rekommendationer för att skydda din organisation mot MFA-fatigue och stärka din organisations cybersäkerhet.
1. Utbilda användare om vanliga attacktekniker
Skadliga MFA-push-meddelanden kan identifieras av följande egenskaper:
- Oväntade meddelanden under icke-kontorstid
- Aviseringar från okända platser
- Misstänkta samtal, e-postmeddelanden eller SMS från någon som påstår sig vara från en betrodd organisation
- Flera MFA push-meddelanden i följd
2. Begränsa antalet MFA-uppmaningar
Kontrollera att din MFA-lösning kan begränsa antalet MFA-push-meddelanden som kan skickas inom en tidsram eller om tidsgränsen mellan uppmaningarna kan ökas. Detta kommer till stor del att hjälpa till att förhindra MFA-fatigue.
3. Implementera single-sign-on (SSO)
Om användare måste använda MFA för varje enskild tjänst är det mer troligt att de upplever MFA-fatigue vilket resulterar i större chanser att de faller offer för MFA-fatigue försök från angripare. Minska det totala antalet inloggningar genom att implementera SSO med lösenordslös autentisering och underlätta inloggningströttheten.
4. Ge användaren ytterligare kontext
Se till att autentiseringsappen tillhandahåller fullständig information om godkännandebegäran till slutanvändaren genom att presentera platsen, IP-adressen, enhetsinformationen och applikations-kontexten. Detta kommer att hjälpa användaren att upptäcka om något är skumt och rapportera inloggningsförsöket.
5. Automatisera inaktuell kontorensning
Många organisationer inser inte vikten av att inaktivera och ta bort föräldralösa eller utgångna användarkonton. MFA-apparna och enheterna för dessa konton är mer sårbara för attacker. Implementera en IAM-lösning som automatiserar aktiveringen och deaktivering av användarkonton och säkerställer att användarkonton hålls uppdaterade i alla system.
6. Aktivera MFA-nummermatchning
Istället för att få användarna att trycka på Tillåt eller Neka kan du göra det svårare för hotaktörerna. Implementera en MFA-lösning som visar en serie med nummer på inloggningsskärmen och be användaren att ange detta nummer i autentiseringsappen. På så sätt kan angriparen inte logga in utan att ange det exakta numret.
Hur vi kan hjälpa till att bekämpa MFA-fatigue
ManageEngine AD360 är en integrerad lösning för holistisk identitets- och åtkomsthantering med ett intuitivt gränssnitt och kraftfulla funktioner för att motverka MFA-fatigue attacker. Låt oss ta en närmare titt på hur AD360 stärker MFA med sina funktioner för identitetssäkerhet.
Lösningen erbjuder ett extra lager av säkerhet till MFA genom att förse användare med över 20 olika autentiseringsmetoder, allt från biometri till tidsbaserade engångslösenkoder (TOTP). Organisationer kan aktivera vilken som helst av de tillgängliga autentiseringsmetoderna för användare och framtvinga registrering för att kunna bevisa sin identitet. AD360 MFA ger en hög nivå av identitetssäkerhet för åtkomstförfrågningar.
Nedan är några av AD360:s funktioner som hjälper till att motverka MFA-trötthet.
1. Adaptiv MFA
Med AD360 fattas beslut om åtkomstkontroll till IT-miljön automatiskt baserat på användarnas IP-adress, enhet, åtkomsttid och geolokalisering utan inblandning av administratör. Att konfigurera villkorad åtkomst kan hjälpa till att implementera säkerhetsåtgärder i kritiska scenarier som:
- Tvinga MFA för privilegierade användare.
- Blockera åtkomst till högriskåtgärder som förfrågningar om lösenordsåterställning från opålitliga IP-adresser eller okända enheter.
- Aktivera endpoint-MFA för maskininloggningar: (Windows-, macOS- och Linux-system; RDP- och VPN-inloggningar; inloggningar för företagsprogram via SSO; och Outlook Web Access (OWA)-inloggningar).
Automatisk åtkomstkontroll baserad på användarkontext kräver att angriparen uppfyller den påtvingade regeln för villkorad åtkomst vilket säkerställer säkerheten utan att störa användarupplevelsen.
2. Autentiserings workflows
Gör det möjligt för IT-administratörer att trigga ett förkonfigurerat autentiserings-workflow när en användare initierar en självbetjäningsbegäran för lösenord, använder SSO eller loggar in på en enhet. Med det här flödet kan IT-administratörer tillämpa olika autentiseringsverktyg för olika uppsättningar användare baserat på deras organisationsenhet, domän och gruppmedlemskap.
Att implementera ett autentiserings-workflow för affärskritiska operationer hjälper till att förhindra angripare från att komma åt känslig information.
3. Lösenordslös autentisering
Med AD360:s lösenordslösa autentisering behöver användare inte ange ett lösenord för att verifiera sin identitet. Istället autentiseras de med biometri eller en TOTP vilket är säkrare eftersom dessa faktorer inte lätt kan stjälas.
Att bli lösenordslös med AD360 hjälper till att eliminera lösenordsbaserade attacker och förbättrar även användarupplevelsen.
4. Upprensning av inaktuella konton
Lösningen erbjuder ett brett utbud av rapporter som samlar in data om de senaste inloggningarna, användare som aldrig har loggat in, användare som inte har loggat in nyligen, inaktiva användare etc. Det hjälper till att automatisera operationer som flytta, inaktivera, aktivera, ta bort, återställa lösenord och låsa upp kontot för de fördefinierade scenarierna för användarkonton.
Att regelbundet leta efter inaktuella användarkonton hjälper till att minimera risken för att inaktiva konton äventyras eller missbrukas.
Sammanfattning
MFA-fatigue kan vara en av de mest utmanande attackvektorn att skydda sig mot. Organisationer måste förstå riskerna med sådana attacker och planera sin säkerhetsinfrastruktur därefter. MFA är ett utmärkt extra säkerhetslager när det används i kombination med andra säkerhetsåtgärder för att stärka cyberförsvaret. Granska de nuvarande MFA-inställningarna i din organisation idag och se till att du är skyddad från MFA-fatigue.
Läs mer och testa AD360 eller ta kontakt med oss om du vill veta mer om hur vi kan hjälpa dig att stärka din organisations säkerhetsskydd mot MFA-fatigue attacker eller andra typer av säkerhetshot. Så sätter vi upp ett online möte.