Bảo vệ Người Dùng khỏi Tấn Công MFA Fatigue
Tấn công MFA Fatigue là gì?
Tấn công MFA Fatigue, còn được gọi là MFA bombing hoặc MFA spamming, ngày càng phổ biến khi việc áp dụng xác thực mạnh tăng lên. MFA (Multi-Factor Authentication) là một dạng tấn công mạng dựa trên kỹ thuật xã hội, trong đó kẻ tấn công liên tục gửi yêu cầu MFA đến email, điện thoại hoặc thiết bị đã đăng ký của nạn nhân.
Bất cứ khi nào người dùng thực hiện thao tác “nhấn để phê duyệt” hoặc “nhập mã PIN để phê duyệt” thay vì nhập mã hiển thị trên màn hình, họ đang thực hiện phê duyệt đơn giản. Mục tiêu của cuộc tấn công này là ép buộc nạn nhân xác nhận danh tính thông qua thông báo, từ đó cho phép kẻ tấn công truy cập vào tài khoản hoặc thiết bị của nạn nhân.
Theo nghiên cứu của Microsoft, khoảng 1% người dùng sẽ chấp nhận yêu cầu phê duyệt đơn giản ngay lần đầu tiên. Vì vậy, điều quan trọng là đảm bảo người dùng phải nhập thông tin từ màn hình đăng nhập và có thêm ngữ cảnh cũng như biện pháp bảo vệ. Các hình thức tấn công này đang gia tăng, đặc biệt với thông báo đẩy (push notifications), phê duyệt bằng giọng nói và SMS là những kênh dễ bị khai thác nhất.
Khuyến nghị từ ITM
ITM khuyến cáo khách hàng, đặc biệt là quản trị viên hệ thống IT, cần:
-
- Thực hiện các quy trình theo hướng dẫn và khuyến nghị của Microsoft.
- Quản lý chặt chẽ tất cả quyền truy cập vào môi trường IT của doanh nghiệp.
- Bảo vệ và phòng ngừa rủi ro ở mức cao nhất.
Một số hướng dẫn ITM gửi đến doanh nghiệp:
Ngăn người dùng tốt vô tình phê duyệt đăng nhập
Number Matching (với trải nghiệm “nhập mã”) giúp ngăn việc phê duyệt nhầm bằng cách yêu cầu người dùng nhập một mã gồm hai chữ số từ màn hình đăng nhập vào ứng dụng Microsoft Authenticator. Nếu người dùng không thực hiện đăng nhập, họ sẽ không biết mã hai chữ số này. Điều này buộc kẻ tấn công phải chia sẻ mã qua một kênh khác, mà người dùng không nên chấp nhận.
Tính năng Number Matching đã được phát hành ở chế độ Public Preview cho MFA từ tháng 11/2021, và hiện có gần 10.000 doanh nghiệp sử dụng hàng ngày. Đây cũng là trải nghiệm mặc định cho đăng nhập không mật khẩu (passwordless) bằng điện thoại sử dụng Microsoft Authenticator.
Lưu ý: Tính năng Number Matching sẽ sớm được tự động bật cho tất cả người dùng Microsoft Authenticator ngay sau khi phát hành chính thức (GA).
Giúp người dùng đưa ra quyết định đúng bằng cách cung cấp thêm ngữ cảnh
Ngữ cảnh bổ sung sẽ hiển thị thêm thông tin trong thông báo đẩy (push notification) gửi đến người dùng. Những thông tin này bao gồm:
-
- Vị trí đăng nhập (dựa trên IP)
- Ứng dụng mà người dùng đang cố gắng truy cập
Ngữ cảnh này giúp người dùng hiểu rõ nguồn gốc của yêu cầu đăng nhập, từ đó giảm nguy cơ phê duyệt nhầm. Tính năng Ngữ cảnh bổ sung đã có sẵn ở chế độ Public Preview từ tháng 11/2021 và sẽ sớm được phát hành chính thức (GA) cho cả quy trình MFA và đăng nhập không mật khẩu (passwordless).
Vẫn đang chuyển đổi sang Authenticator? Tự động thay đổi mật khẩu cho người dùng có nguy cơ
Bạn có thể có những người dùng vẫn đang sử dụng cơ chế phê duyệt MFA đơn giản. Hãy bảo vệ họ bằng cách tự động thay đổi mật khẩu cho người dùng có nguy cơ.
Nếu một người dùng với MFA phê duyệt đơn giản nhận được nhiều yêu cầu MFA lặp lại, điều đó có nghĩa là kẻ tấn công đã biết đúng mật khẩu của người dùng. Nếu kẻ tấn công thực hiện một lần đăng nhập rủi ro (ví dụ: từ vị trí không quen thuộc) và không được phê duyệt qua thông báo MFA, mức độ rủi ro của người dùng sẽ tự động được nâng lên bằng mức rủi ro của lần đăng nhập đó.
Bạn có thể xem danh sách người dùng có nguy cơ trong báo cáo Risky Users của Azure AD và tận dụng thông tin này để tự động thay đổi mật khẩu cho những người dùng đó. Việc người dùng thay đổi mật khẩu sẽ khắc phục rủi ro và ngăn kẻ tấn công gửi thêm yêu cầu MFA.
Những điều quan trọng cần biết
Bạn sẽ không phải thực hiện bước xác thực thứ hai quá thường xuyên. Nhiều người lo ngại rằng xác thực đa yếu tố (MFA) sẽ gây bất tiện, nhưng thực tế MFA thường chỉ được yêu cầu lần đầu tiên bạn đăng nhập vào ứng dụng hoặc thiết bị, hoặc lần đầu tiên sau khi đổi mật khẩu. Sau đó, bạn chỉ cần yếu tố chính (thường là mật khẩu) như hiện nay.
Lợi ích bảo mật đến từ việc nếu ai đó cố gắng xâm nhập vào tài khoản của bạn, họ thường không sử dụng thiết bị của bạn, vì vậy họ sẽ cần yếu tố thứ hai để truy cập.
MFA không chỉ dành cho công việc hoặc trường học. Hầu hết các dịch vụ trực tuyến, từ ngân hàng, email cá nhân đến mạng xã hội, đều hỗ trợ thêm bước xác thực thứ hai. Bạn nên vào phần cài đặt tài khoản của các dịch vụ này và bật tính năng đó.
Bảo mật của bạn là ưu tiên hàng đầu đối với chúng tôi, vì vậy chúng tôi khuyến nghị bạn kích hoạt các tính năng này càng sớm càng tốt. Để tránh sự cố liên quan đến MFA và nhận hỗ trợ kịp thời về bảo mật, vui lòng liên hệ ITM ngay hôm nay.
