Η Microsoft έχει αρχίσει να επιβάλλει την αντιστοίχιση αριθμών στις ειδοποιήσεις ώθησης του Microsoft Authenticator για να αποτρέψει τις επιθέσεις fatigue με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Σε τέτοιες επιθέσεις (γνωστές και ως push bombing ή MFA push spam), οι εγκληματίες του κυβερνοχώρου πλημμυρίζουν τους στόχους με ειδοποιήσεις push για κινητά ζητώντας τους να εγκρίνουν τις προσπάθειες σύνδεσης στους εταιρικούς λογαριασμούς τους χρησιμοποιώντας κλεμμένα διαπιστευτήρια.
Σε πολλές περιπτώσεις, οι στόχοι υποχωρούν στα επαναλαμβανόμενα κακόβουλα αιτήματα ώθησης MFA, είτε κατά λάθος είτε για να σταματήσουν τη φαινομενικά ατελείωτη ροή ειδοποιήσεων, επιτρέποντας στους εισβολείς να συνδεθούν στους λογαριασμούς τους.
Αυτός ο τύπος επίθεσης κοινωνικής μηχανικής έχει ήδη αποδειχθεί πολύ επιτυχημένος από τους παράγοντες απειλών Lapsus$ και Yanluowang που χρησιμοποίησαν αυτήν τη μέθοδο επίθεσης για να παραβιάσουν οργανώσεις υψηλού προφίλ, όπως Microsoft,Cisco, και Uber.
Ωστόσο, όπως έχει προαναγγελθεί, η Microsoft θα αρχίσει να επιβάλλει την αντιστοίχιση αριθμών για ειδοποιήσεις MFA του Microsoft Authenticator για να αποκλείσει τις προσπάθειες επίθεσης κούρασης MFA στους ενοικιαστές από σήμερα.
“Η αντιστοίχιση αριθμών είναι μια βασική αναβάθμιση ασφαλείας στις παραδοσιακές ειδοποιήσεις δεύτερου παράγοντα στο Microsoft Authenticator. Θα καταργήσουμε τα στοιχεία ελέγχου διαχειριστή και θα επιβάλουμε την εμπειρία αντιστοίχισης αριθμών σε επίπεδο μισθωτή για όλους τους χρήστες των ειδοποιήσεων push Microsoft Authenticator από τις 8 Μαΐου 2023,” λέει η Microsoft.
“Οι σχετικές υπηρεσίες θα αρχίσουν να αναπτύσσουν αυτές τις αλλαγές μετά τις 8 Μαΐου 2023 και οι χρήστες θα αρχίσουν να βλέπουν αντιστοίχιση αριθμού στα αιτήματα έγκρισης. Καθώς αναπτύσσονται οι υπηρεσίες, ορισμένοι μπορεί να βλέπουν αντιστοίχιση αριθμού ενώ άλλοι όχι.”