How Hackers Breached Uber, Microsoft och Cisco

En relativt ny social ingenjörsteknik, allmänt känd som “MFA-trötthet” har framgångsrikt använts för att äventyra anställdas konton hos stora företag som Uber, Microsoft och Cisco.

Tekniken utnyttjar MFA-lösningar (Multi-Factor Authentication) som skickar meddelanden om inloggningsgodkännande till användare efter försök till kontoåtkomst – såväl som det faktum att människor tenderar att bli frustrerade av oändliga strömmar av meddelanden.

Denna attack kräver fortfarande stulna kontouppgifter, så att se till att du har ett starkt lösenord är av största vikt, och att använda en lösenordshanteraren för att underlätta detta rekommenderas alltid.

MFA Fatigue: A Novel Hacking Tactic

Ditt företag är sårbart för MFA-trötthetsattacker om multifaktorautentiseringsmetoden dina anställda använder är konfigurerad för att skicka “godkänn inloggning”-aviseringar till sina telefoner eller andra enheter.

I en MFA Fatigue Attack kommer en hackare att göra flera försök att logga in på ett givet användarkonto konfigurerat med multifaktorautentisering, med hjälp av stulna referenser, och skicka en oändlig ström av inloggningsgodkännandeförfrågningar till användarens enhet.

Parallellt med att bombardera målet med aviseringar har hackare enligt uppgift skickat e-postmeddelanden där de utger sig för att vara IT-stöd, i ytterligare ett försök att övertyga användaren om att meddelandena är legitima förfrågningar de måste hantera.

Avsikten är att offret äntligen godkänner begäran av ren frustration, eller är övertygad om att de har blivit ombedd att göra det av sitt tekniska team.

Andra autentiserings-busting-tekniker

Vi rekommenderar fortfarande att du aktiverar tvåfaktorsautentisering – och ännu bättre, multifaktorautentisering – på alla konton du har.

Ett extra lager av säkerhet är alltid bra – det är trots allt bättre än att inte ha det – men det är inte det felsäkra systemet som det en gång utsågs vara. Det finns dock mer och mindre säkra sätt att konfigurera det.

SIM-Swapping, till exempel, är en taktik som hackare tidigare har använt för att vinna obehörig åtkomst till kryptoplånböcker med tvåfaktorsautentisering aktiverad.

Det handlar om att ringa upp en telefonoperatör och övertyga dem om att byta ut ett måls telefonnummer till ett SIM-kort som kontrolleras av hackaren, vilket innebär att tvåfaktorsautentiseringskoder som skickas via text omdirigeras dit istället.

Det är därför det i allmänhet rekommenderas att använda en autentiseringsapp som Google Authenticator för att få dina koder skickade till din enhet snarare än ett telefonnummer.

Hur slår jag MFA trötthetsattacker?

Om du får en oändlig ström av MFA-aviseringar om dina anställdas konton hos ditt företag, kontakta din IT-avdelning.

Säkerhetsexperter rekommenderar också att du inaktiverar push-meddelanden och enkla “godkänn inloggningsförfrågningar”, och istället väljer en säkrare metod för numeriska koder som skickas till din telefon eller en autentiseringsapp.

På vissa system kan du också begränsa antalet MFA-förfrågningar som kan göras, så att när en tröskel är uppfylld kan inte fler skickas.

Naturligtvis, eftersom detta bara fungerar med stulna kontouppgifter, är den första försvarslinjen ett starkt, unikt lösenord – och det finns inget bättre sätt att säkerställa att du har ett än ett lösenordshanteraren. Att använda en, tillsammans med en autentiseringsapp och en konfigurerad MFA-förfråganströskel (om möjligt), är den säkraste vägen framåt.