Home-theater-designers
자격 증명 도용 사건이 증가하면서 기업은 암호 도용의 심각한 영향으로부터 직원을 보호하기 위해 MFA(다단계 인증)를 구현해야 했습니다. 그러나 해커는 이제 이 추가 보호 계층을 우회하기 위해 MFA 피로 공격을 수행하고 있습니다.
MAKEUSEOF 오늘의 비디오
그렇다면 MFA 피로는 무엇입니까? 이러한 공격은 어떻게 작동합니까? 그리고 자신을 보호하기 위해 무엇을 할 수 있습니까?
MFA 피로 공격이란 무엇입니까?
MFA 피로 공격은 계정 소유자가 실수하거나 심리적으로 지쳐 로그인 요청을 승인할 때까지 MFA 푸시 알림을 계속해서 공격하는 것을 포함합니다.
MFA 요청이 승인되면 해커가 사용자 계정에 액세스하여 원하는 대로 오용할 수 있습니다.
이러한 공격의 주요 목표는 계정 소유자에게 피로감을 주기 위해 끝없는 MFA 푸시 알림을 보내는 것입니다.
적절한 시기에 이 MFA 피로로 인해 계정 소유자는 실수로 또는 의도적으로 MFA 푸시 알림을 중지하기 위해 로그인 요청을 승인합니다.
MFA 피로 공격의 작동 방식
점점 더 많은 애플리케이션과 서비스로 다단계 인증 채택 , 계정 소유자가 하루에 여러 번 MFA 요청을 승인해야 하는 경우 MFA 푸시 알림을 승인하는 것이 일상적인 작업이 될 수 있습니다. 결국 MFA 푸시 알림을 매일 승인하면 계정 소유자가 부주의할 수 있습니다.
또한 MFA 알림이 계속해서 폭격하면 계정 소유자를 지치게 할 수 있으며 알림이 귀찮게 하지 않도록 하기 위해 로그인 요청을 승인하라는 메시지가 표시됩니다.
계정 소유자는 스마트폰에서 인증 앱을 자주 사용하기 때문에 해커는 24시간 연중무휴로 인증 앱을 공격할 수 있습니다.
MFA 피로 공격에서 어떤 일이 발생합니까?
MFA 피로 공격의 첫 번째 단계는 계정 사용자의 로그인 자격 증명을 가져오는 것입니다. 많이있다 비밀번호를 해킹하는 일반적인 트릭 , 피싱, 스파이더링 및 무차별 대입 공격을 포함합니다.
공격자가 사용자의 로그인 자격 증명을 가지고 있으면 다단계 인증 프롬프트를 폭격합니다.
공격자는 다음을 희망합니다.
- 사용자가 실수로 로그인 시도를 승인합니다.
- 사용자는 MFA 요청의 끝없는 흐름에 의해 가해지는 심리적 압박으로 인해 포기할 것입니다.
MFA 피로 공격은 쉽게 자동화할 수 있습니다. 그리고 종종, 사회 공학 MFA 피로 공격과 결합하여 공격을 성공시킵니다.
예를 들어 대상 사용자는 사용자에게 MFA 요청을 승인하도록 요청하는 피싱 이메일을 받습니다. 또한 피싱 이메일은 새로운 보안 시스템이 구현됨에 따라 앞으로 여러 MFA 요청을 받을 수 있음을 대상에게 알릴 수 있습니다. 이메일에는 계정 소유자가 로그인 시도를 승인하면 MFA 요청이 중지된다고 추가로 명시할 수 있습니다.
MFA 피로 공격으로부터 보호하는 방법
다음은 MFA 피로 공격으로부터 안전하게 지낼 수 있는 몇 가지 방법입니다.
1. 추가 컨텍스트 활성화
MFA 요청에서 추가 컨텍스트를 활성화하면 더 나은 보안을 제공하고 MFA 피로 공격으로부터 보호할 수 있습니다.
MFA 요청의 추가 컨텍스트는 MFA 알림을 트리거한 계정, 로그인을 시도한 시간, 로그인을 시도하는 데 사용된 장치 및 로그인을 시도한 장치의 위치를 이해하는 데 도움이 됩니다.
계정에 로그인을 시도하지 않을 때 낯선 위치나 장치에서 여러 MFA 요청이 트리거되는 경우 위협 행위자가 스팸을 시도하고 있다는 신호입니다. 당신은 즉시 해당 계정의 비밀번호를 변경 회사 네트워크에 연결되어 있으면 IT 부서에 알리십시오.
많은 MFA 앱에는 이 기능이 기본적으로 활성화되어 있습니다. 인증자 앱에 추가 컨텍스트가 표시되지 않으면 앱 설정으로 들어가서 추가 컨텍스트를 허용하는 옵션이 있는지 확인하십시오.
2. 위험 기반 인증 채택
위험 기반 인증 기능이 있는 인증자 앱을 사용하면 MFA 피로 공격을 방어하는 데 도움이 될 수 있습니다. 이러한 앱은 알려진 공격 패턴을 기반으로 위협 신호를 감지 및 분석하고 그에 따라 보안 요구 사항을 조정할 수 있습니다.
알려진 위협 패턴에는 로그인 시도의 비정상적인 위치, 반복적인 로그인 실패, MFA 푸시 괴롭힘 등이 포함되지만 이에 국한되지 않습니다.
MFA 앱이 위험 기반 인증을 제공하는지 확인하십시오. 그렇다면 MFA 푸시 스팸으로부터 보호되도록 활성화하십시오.
3. FIDO2 인증 구현
채택 FIDO2 모든 회사의 인증 형식은 MFA 피로 공격을 방지할 수 있습니다.
FIDO2는 사용자에게 생체 인식 기반의 암호 없는 인증 및 다단계 인증을 제공합니다. 로그인 자격 증명이 장치를 떠나지 않기 때문에 자격 증명 도용 위험이 제거되므로 위협 행위자가 MFA 알림 스팸을 수행할 수 없습니다.
4. 확인 방법으로 푸시 알림 비활성화
MFA 푸시 알림 기능은 사용하기 쉽도록 설계되었습니다. 계정 소유자는 '예' 또는 '허용'을 클릭하여 계정에 로그인하기만 하면 됩니다.
MFA 피로 공격은 인증 앱의 이 기능을 악용합니다. 인증 앱에서 확인 방법으로 이러한 간단한 푸시 알림을 비활성화하는 것은 MFA 보안을 강화하는 입증된 방법입니다.
다음은 MFA 요청을 확인하는 데 사용할 수 있는 몇 가지 방법입니다.
- 숫자 일치.
- 도전과 대응.
- 시간 기반 일회용 암호.
번호 일치 또는 시간 기반 일회용 암호를 확인 방법으로 사용하는 이점은 사용자가 실수로 MFA 요청을 승인할 수 없다는 것입니다. 확인 절차를 완료하는 데 필요한 정보가 필요합니다.
돈을 받기 위해 페이팔 계정을 여는 방법
인증 앱을 확인하여 로그인 시도를 승인하기 위해 사용자에게 '예' 또는 '허용'을 클릭하라는 메시지를 표시하는 간단한 푸시 알림 대신 사용할 수 있는 MFA 확인 기능을 확인하십시오.
5. 인증 요청 제한
인증자 앱에서 로그인 요청 수를 제한하면 즉각적인 폭격이나 MFA 피로를 방지하는 데 도움이 될 수 있습니다. 그러나 모든 인증자가 이 기능을 제공하는 것은 아닙니다.
MFA 인증자가 인증 요청을 제한할 수 있는지 확인하십시오. 그 후에는 계정이 차단됩니다.
6. MFA에 대한 보안 인식 확산
회사를 운영하는 경우 MFA 피로 공격을 막는 가장 좋은 방법은 보안 인식 교육입니다. 직원이 MFA 피로 공격이 어떻게 생겼는지, 발생했을 때 어떻게 해야 하는지 알도록 하십시오. 또한 MFA 요청 승인을 요청하는 피싱 이메일을 발견할 수 있어야 합니다.
최고의 사이버 보안 사례에 대해 직원을 정기적으로 교육하면 계정을 보호하는 데 큰 도움이 됩니다.
실수에 빠지지 마라
다단계 인증은 계정에 보안 계층을 추가합니다. 위협 행위자가 귀하의 로그인 자격 증명에 액세스한 경우에도 귀하의 계정을 보호합니다. 그러나 MFA 피로 공격을 조심해야 합니다. 짜증날 수 있지만 굴하지 마십시오.