MFA 疲劳攻击(Push Bombing)
MFA 疲劳攻击(Push Bombing) 是什么?
MFA 疲劳攻击(Push Bombing)攻击者已获得有效密码后,不断向受害者发起 MFA 推送提示,直至对方因困惑或厌烦而误点同意的攻击。
MFA 疲劳(又称 push bombing)针对基于推送的多因素认证。攻击者通过钓鱼或撞库获得有效密码后,反复发起登录请求,使受害者手机收到大量推送审批,直至用户点击同意以摆脱骚扰或误以为提示合法。典型案例:2022 年 Uber 数据泄露和 2022 年 Cisco 入侵,二者均与 Lapsus$ 与 EXOTIC LILY 的手法相关。缓解措施包括号码匹配(number matching)、带上下文的推送审批、速率限制、连续拒绝后封锁,以及迁移到抗钓鱼的 FIDO2 或 passkey。
● 示例
- 01
Uber 2022:外包人员在数十次尝试后点击通过,授予了初始访问权。
- 02
Cisco 2022:攻击者通过语音钓鱼加 push bombing 绕过企业 VPN 的 MFA。
● 常见问题
MFA 疲劳攻击(Push Bombing) 是什么?
攻击者已获得有效密码后,不断向受害者发起 MFA 推送提示,直至对方因困惑或厌烦而误点同意的攻击。 它属于网络安全的 身份与访问 分类。
MFA 疲劳攻击(Push Bombing) 是什么意思?
攻击者已获得有效密码后,不断向受害者发起 MFA 推送提示,直至对方因困惑或厌烦而误点同意的攻击。
MFA 疲劳攻击(Push Bombing) 是如何工作的?
MFA 疲劳(又称 push bombing)针对基于推送的多因素认证。攻击者通过钓鱼或撞库获得有效密码后,反复发起登录请求,使受害者手机收到大量推送审批,直至用户点击同意以摆脱骚扰或误以为提示合法。典型案例:2022 年 Uber 数据泄露和 2022 年 Cisco 入侵,二者均与 Lapsus$ 与 EXOTIC LILY 的手法相关。缓解措施包括号码匹配(number matching)、带上下文的推送审批、速率限制、连续拒绝后封锁,以及迁移到抗钓鱼的 FIDO2 或 passkey。
如何防御 MFA 疲劳攻击(Push Bombing)?
针对 MFA 疲劳攻击(Push Bombing) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- identity-access№ 883
推送式认证
一种 MFA 方法,身份提供方向受信任的手机应用推送登录请求,用户点击即可批准或拒绝。
- identity-access№ 414
FIDO2
FIDO 联盟推出的开放认证标准,结合 WebAuthn(浏览器 API)和 CTAP(认证器协议),实现抗钓鱼的无密码登录。
- identity-access№ 793
通行密钥 (Passkey)
一种抗钓鱼的 FIDO2/WebAuthn 凭据,使用绑定设备或可同步的非对称密钥对,以加密挑战-响应取代密码。
- attacks№ 1065
社会工程学
通过心理操纵让目标执行特定行为或泄露机密信息,从而使攻击者获益的攻击方式。
- attacks№ 232
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。