MFA-усталость (Push Bombing)
Что такое MFA-усталость (Push Bombing)?
MFA-усталость (Push Bombing)Атака, в которой злоумышленник с валидным паролем заваливает жертву push-уведомлениями MFA, пока та не одобрит запрос по ошибке или из-за раздражения.
MFA-усталость (push bombing) нацелена на push-многофакторную аутентификацию. Получив валидный пароль через фишинг или credential stuffing, атакующий многократно инициирует вход, вызывая лавину push-подтверждений на телефоне жертвы. В итоге пользователь нажимает «Подтвердить», чтобы прекратить уведомления, либо считает запрос легитимным. Известны взломы Uber 2022 и Cisco 2022, связанные с группами Lapsus$ и EXOTIC LILY. Меры защиты: number matching, контекстные push-запросы, лимит запросов, блокировка после серии отказов и переход на устойчивые к фишингу FIDO2 и passkeys.
● Примеры
- 01
Uber 2022: внешний подрядчик одобрил push после десятков попыток, что дало первичный доступ.
- 02
Cisco 2022: вишинг и push bombing обошли MFA корпоративного VPN.
● Частые вопросы
Что такое MFA-усталость (Push Bombing)?
Атака, в которой злоумышленник с валидным паролем заваливает жертву push-уведомлениями MFA, пока та не одобрит запрос по ошибке или из-за раздражения. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает MFA-усталость (Push Bombing)?
Атака, в которой злоумышленник с валидным паролем заваливает жертву push-уведомлениями MFA, пока та не одобрит запрос по ошибке или из-за раздражения.
Как работает MFA-усталость (Push Bombing)?
MFA-усталость (push bombing) нацелена на push-многофакторную аутентификацию. Получив валидный пароль через фишинг или credential stuffing, атакующий многократно инициирует вход, вызывая лавину push-подтверждений на телефоне жертвы. В итоге пользователь нажимает «Подтвердить», чтобы прекратить уведомления, либо считает запрос легитимным. Известны взломы Uber 2022 и Cisco 2022, связанные с группами Lapsus$ и EXOTIC LILY. Меры защиты: number matching, контекстные push-запросы, лимит запросов, блокировка после серии отказов и переход на устойчивые к фишингу FIDO2 и passkeys.
Как защититься от MFA-усталость (Push Bombing)?
Защита от MFA-усталость (Push Bombing) обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 708
Многофакторная аутентификация (MFA)
Метод аутентификации, при котором перед предоставлением доступа требуется два и более независимых фактора, обычно из разных категорий.
- identity-access№ 883
Push-аутентификация
Метод MFA, при котором поставщик удостоверений отправляет запрос на вход в доверенное мобильное приложение, а пользователь подтверждает или отклоняет его одним касанием.
- identity-access№ 414
FIDO2
Открытый стандарт аутентификации FIDO Alliance, объединяющий WebAuthn (браузерный API) и CTAP (протокол аутентификатора) для входа без пароля с защитой от фишинга.
- identity-access№ 793
Passkey
Устойчивые к фишингу учётные данные FIDO2/WebAuthn — асимметричная пара ключей, привязанная к устройству или синхронизируемая, заменяющая пароль криптографическим вызов-ответом.
- attacks№ 1065
Социальная инженерия
Психологическое манипулирование людьми, заставляющее их совершать действия или раскрывать конфиденциальную информацию в интересах злоумышленника.
- attacks№ 232
Подстановка учётных данных
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.