Siber güvenlikte ortak maksimum, endüstrinin her zaman arka ayakta olmasıdır. Siber güvenlik uygulayıcıları daha yüksek duvarlar inşa ederken, rakipler daha uzun merdivenler oluşturmakla meşguller. Canavarın doğası.
Başlıca bir örnek, kullanıcıların şifre, telefonlarına gönderilen bir kod veya parmak izi gibi kimliklerini iki veya daha fazla şekilde doğrulamalarını gerektiren bir güvenlik işlemi olan çok faktörlü kimlik doğrulama (MFA). Birçoğu dijital varlıklarını korumak için bu araçları benimsiyor, ancak erkek faktörler bu kritik güvenlik katmanını zayıflatmak için stratejilerini geliştiriyorlar.
Ne yazık ki endüstri için, erring insandır ve insanlar doğal önyargılarının ve davranışlarının her türlü manipülasyonuna duyarlıdır. Bu, MFA yorgunluğunun tehlikeli bir tehdit olarak ortaya çıktığını gördü, çünkü bu tür saldırı temel ama güçlü bir kırılganlıktan yararlanıyor: insan davranışı.
Bu blogda, MFA yorgunluğu kavramına, ne kadar kötü aktörlerin onu kullandığı ve varlıkların bu kurnaz taktiğe karşı savunmaları güçlendirmek için neler yapabileceğine bakacağız.
MFA Yorgunluk: Siber Güvenlikte ‘Vazgeçiyorum’ düğmesi
MFA yetkisiz erişimi önlemede son derece etkili olsa da, istismar etmek geçirmezdir.
Push bombalama veya bildirim spamleri olarak da bilinen MFA yorgunluk saldırıları, bir kişinin psikolojik durumunu güvenlik protokollerini atlamak için kullanır.
Saldırganlar, amaçlanan kurbanlarını tekrarlanan MFA istemleri ile, genellikle hızlı ateş ardışıklığı içinde, onları isteklerden birini onaylamalarını veya hayal kırıklığına uğratmayı hayal kırıklığına uğratmayı umarak sular altında kalırlar. İnsanların özellikle dijital kesintilerle sınırlı sabrı olduğunu bilen kötü aktörler, kullanıcıları acımasızca bombalayarak kullanıyorlar.
Mağdur sonunda sadece rahatsızlığı sona erdirme talebini onaylayabilir, genellikle bir sistem hatası veya rutin bir hata için yanlış yapabilir.
Tehdit oyuncularının insan davranışlarından yararlanmasının diğer yolları
Yorgunluk saldırılarına ek olarak, erkek faktörler sosyal mühendisliği silahlandırır. MFA yorgunluğu genellikle sosyal mühendislik ile birleştirilir – bir saldırgan kurbanla temasa geçebilir, destek olarak maskelenebilir ve “bir sorunu çözme” istemini onaylamalarını tavsiye edebilir.
Push spam ve sosyal mühendislik kombinasyonu, kurbanın uymak için baskı altında hissettiği zorlayıcı bir sahneyi körüklüyor.
Siber suçlular zekidir. Zayıf yönlerden yararlanmak oyunlarının adıdır ve MFA yorgunluk saldırılarını ne zaman başlatacakları konusunda stratejiktir. Gece geç saatlerde veya yoğun dönemlerde, kullanıcıların daha az uyanık olduğu, dikkati dağıldığı veya dikkatli olunması muhtemel oldukları, bu saldırılar için ana zamanlardır.
Siber suçlular ayrıca onay yanlılığı ve sistemlere olan güven gibi bilişsel önyargılardan da yararlanır. Mağdurlar, tekrarlanan istemlerin, eylemin, sorunu çözeceğine dair yanlış fikri güçlendiren meşru olduğunu gösteren bir gösterge olduğunu varsayabilirler.
MFA yorgunluk istismarının oyun kitabı
Aktörlerin MFA yorgunluğunu nasıl kullandıklarını anlamak için, bu kurnaz yöntemin arkasındaki adım adım stratejiyi yıkalım.
- İlk Uzlaşma: Erkekselekler önce kimlik avı, kaba kuvvet saldırıları veya karanlık web pazarları yoluyla kurbanın kimlik bilgilerine erişirler. Ancak, MFA doğrudan oturum açmalarını engellediğinde tökezleyen bir bloğa çarptılar.
- MFA Bombalama: Meyveden çıkarılan kullanıcı adı ve şifre ile donatılmış, bir giriş denemesi başlatırlar ve bir MFA istemini tetiklerler. Bu süreci acımasızca, hatta bazen yüzlerce kez tekrarlarlar.
- Kullanıcı Onayı: Zekâsının sonunda veya yanlış yönlendirildiğinde, hedef sonunda saldırgana anahtarları krallığa verir ve istemlerden birini verir ve onaylar.
- Yanal Hareket: İçeri girdikten sonra, dolandırıcılar ayrıcalıkları artırabilir, duyarlı verileri dışarı atabilir veya fidye yazılımlarını ve diğer kötü amaçlı araçları dağıtabilir.
Finansal kurumlar ve sağlık hizmeti sağlayıcıları da dahil olmak üzere birçok kuruluş, MFA yorgunluk saldırılarına kurban edildi.
Örneğin, 2022’de Uber, MFA yorgunluğuna atfedilen önemli bir güvenlik ihlali yaşadı. Suçlu, çalıntı kimlik bilgilerini kullandı ve sonunda bir talebi onaylayan bir çalışanı hedeflemek için spam gönderdi. İçeri girdikten sonra, saldırgan hassas sistemlere ve verilere erişim sağladı ve sürüş selamlayan devi düzenleyici incelemeye ve finansal hasara maruz bıraktı.
Çok fazla güvenlik bir sorun olduğunda
MFA standart uygulama haline geldikçe, kötü niyetli aktörler zırhındaki zayıf çinaları bulmak için yatırım yapıyorlar. MFA yorgunluğu, taktiklerinde doğal bir evrimdir – teknolojinin kendisini atlamaya çalışmak yerine insan unsurunu hedeflemek.
Sofistike kötü amaçlı yazılım veya sıfır gün istismarlarından farklı olarak, bu saldırıların çok fazla teknik uzmanlığa ihtiyacı yoktur. Dark Web’de hazır çalınan kimlik bilgileri ile nispeten deneyimsiz siber suçlular bile bu saldırıları gerçekleştirebilir.
Siber dolandırıcılar genellikle MFA’yı hesap güvenliği için gümüş bir mermi olarak düşünen kuruluşlara banka yapıyor, ancak değil. Sadece bir savunma tabakasıdır ve aşırı güven, sömürülebilen kör noktalar yaratabilir.
Seni yenmeden önce MFA yorgunluğu nasıl yenilir
Siber güvenliğin hemen hemen her yönünde olduğu gibi, ilk savunma hattı farkındalıktır. Varlıklar, çalışanlarını MFA yorgunluk saldırılarını tanımaları ve ne kadar kalıcı olursa olsun, yetkisiz istemleri reddetmenin önemini anlamaları için eğitmelidir. Anormal aktivitenin raporlanması için net protokoller de belirlenmelidir.
Gelişmiş kimlik doğrulama sistemleri, anormallikleri tespit etmek için konum, cihaz ve giriş davranışı gibi bağlamsal faktörleri analiz edebilir. Bir MFA isteği garip bir cihazdan veya konumdan gelirse, sistem onu işaretleyebilir veya ek doğrulamada ısrar edebilir.
Bazı MFA çözümleri, kullanıcıların aldıkları push bildirimlerinin sayısını sınırlamasına olanak tanır. Tekrarlanan istemlerin kısıtlanması, taleplerin sellerinde boğulmasından kaynaklanan yorgunluğu önleyebilir.
FIDO2 jetonları veya biyometri gibi kimlik avına dayanıklı MFA yöntemleri, denklemden tamamen onay istemlerine ihtiyaç duyar. Bu yöntemler, fiziksel etkileşim veya entegre kullanıcı özellikleri gerektirdiği için yorgunluk saldırılarına daha az duyarlıdır.
Ayrıca, giriş girişiminin algılanan riskine göre güvenlik gereksinimlerini dinamik olarak ayarlayan riske dayalı kimlik doğrulaması da vardır. Yüksek riskli senaryolar, pürolanmış kimlik bilgilerinin etkisini sınırlayarak ek doğrulama adımlarını tetikleyecektir.
Diğer sistemler, belirli sayıda başarısız giriş veya MFA denemesinden sonra hesapları geçici olarak kilitleyen zaman aşımı politikaları uygulayabilir-bu da spam tekniklerinin etkinliğini kısıtlayan bir yaklaşım.
Son olarak, güvenlik ekiplerinin olağandışı giriş denemeleri veya aşırı MFA istemleri için aktif olarak izlemesi gerekir. Ayrıca, sinekte potansiyel MFA yorgunluk saldırılarını tespit edebilecek ve bunlara yanıt verebilen bir dizi otomatik araç da vardır.
Bir temel taşı, bağımsız değil
MFA yorgunluğunun arkasındaki taktikleri anlayarak ve sağlam savunmalar uygulayarak, firmalar riskleri azaltabilir ve güvenlik sistemlerinin bütünlüğünü güçlendirebilir.
MFA her zaman hesap güvenliğinin temel taşı olacaktır, ancak bu bağımsız bir çözüm değildir. Teknik önlemler, kullanıcı eğitimi ve proaktif izleme karışımı, güvenlik açıklarını sınırlayan katmanlı bir savunma oluşturur.
Siyah şapkalar TTP’lerini değiştirdikçe, güvenlik uygulayıcıları bir adım önde kalmalı ve insan davranışının en ince sömürüsünün bile kritik sistemlerden ödün vermediğinden emin olmalıdır.
Varlıklar MFA yorgunluk saldırılarına bir uyandırma çağrısı olarak ele almalıdır: Siber güvenlik sadece teknoloji değil, aynı zamanda kullanıcıların psikolojisini anlamak ve ele almakla da ilgilidir.
MFA Yorgunluğu Anlama Postası: Siber suçluların neden insan davranışlarından yararlandığı ilk önce BT güvenlik gurusu üzerinde ortaya çıktı.