一种相对较新的社会工程技术(通常称为“MFA 疲劳”)已成功用于危害 Uber、微软和思科等大公司的员工帐户。
该技术利用多重身份验证 (MFA) 解决方案,在尝试帐户访问后向用户发送登录批准通知,以及人类往往会因无休止的消息流而感到沮丧的事实。
这种攻击仍然需要被盗的帐户凭据,因此确保您拥有强密码至关重要,并且使用密码管理器始终建议您这样做。
如果您的员工使用的多重身份验证方法配置为向其手机或其他设备发送“批准登录”通知,您的企业很容易受到 MFA 疲劳攻击。
在 MFA 疲劳攻击中,黑客将使用窃取的凭据多次尝试登录配置有多重身份验证的给定用户帐户,并向用户的设备发送源源不断的登录批准请求。
据报道,除了用通知轰炸目标之外,黑客还发送假装是 IT 支持人员的电子邮件,以进一步说服用户这些消息是他们需要处理的合法请求。
其目的是受害者最终出于纯粹的挫败感而批准了该请求,或者确信他们是技术团队要求这样做的。
其他身份验证破坏技术
我们仍然建议您在您拥有的任何帐户上激活两因素身份验证 - 甚至更好的多因素身份验证。
额外的安全层总是好的——毕竟总比没有好——但这并不是曾经吹捧的故障安全系统。 然而,有越来越多和不太安全的配置方法。
例如,SIM 交换是黑客之前用来获取信息的一种策略。未经授权访问加密钱包激活双因素身份验证。
它涉及打电话给电话运营商并说服他们将目标的电话号码交换到黑客控制的 SIM 卡上,这意味着通过文本发送的双因素身份验证代码将被重定向到那里。
这就是为什么通常建议使用 Google Authenticator 等身份验证器应用程序将代码而不是电话号码发送到您的设备。
如何应对 MFA 疲劳发作?
如果您不断收到与您公司员工帐户相关的 MFA 通知,请联系您的 IT 部门。
安全专家还建议禁用推送通知和简单的“批准登录”请求,而选择一种更安全的数字代码发送到手机或身份验证应用程序的方法。
在某些系统上,您还可以限制可以发出的 MFA 请求的数量,这样当达到阈值时,就不能发送更多请求。
当然,由于这只适用于被盗的帐户凭据,因此第一道防线是一个强大的、唯一的密码——没有比一个更好的方法来确保您拥有一个密码了。密码管理器。 使用其中一个以及身份验证器应用程序和配置的 MFA 请求阈值(如果可能)是最安全的方法。
