Monivaiheisen todentamisen väsytyshyökkäys

Wikipediasta
Siirry navigaatioon Siirry hakuun

Monivaiheisen todentamisen väsytyshyökkäys (engl. multi-factor authentication fatigue attack, MFA fatigue attack) eli MFA-pommitus (engl. MFA bombing, myös MFA spamming eli MFA-spämmäys) on eräs sosiaalista manipulointia hyödyntävä verkkourkinnan (tietojenkalastelun) muoto. Siinä käyttäjää kuormitetaan monilla peräkkäisillä vilpillisesti ohjatuvalla monivaiheisen todentamisen (MFA)[1] tunnistuspyynnöllä. Kaksivaiheinen tunnistautuminen on eräs monivaiheisen todentamisen muoto.[2] MFA-pommitus on kyberhyökkäystapa, jonka tarkoituksena on harhauttaa käyttäjä syöttämään tunnistustietonsa valesivustolle ainakin kerran. Varastettujen tunnistustietojen avulla rikolliset pääsevät yksityishenkilön tai yrityksen laitteeseen (järjestelmään) ja käyttäjätilille.[2][3][4] Onnistunutta tunkeutumista voi seurata esimerkiksi kiristyshaittaohjelman syöttäminen yritysjärjestelmään. MFA-spämmiä voi edeltää käyttäjätiedon keruu erilaisin menetelmin.[2]

Monivaiheisen todentamisen väsytyshyökkäyksen avulla on kyberrikolliset ovat pyrkineet tunkeutumaan 2020-luvulla muun muassa SolarWindsin, Microsoftin, VMwaren, Uberin ja Applen käyttäjätileille.[2][5][3][4] Tunnistettujen MFA-pommitushyökkäyksen tekijöiden joukossa on ollut esimerkiksi verkkokiristyksiä tehtaileva koodarinuorten ryhmä[5] sekä Venäjän tiedustelupalveluihin liitetty Cozy Bear -ryhmittymä. Jälkimmäinen oli muun muassa SolarWinds-, Microsoftin- ja VMware-järjestelmien tunnisteiden kautta tunkeutunut moniin Yhdysvaltain liittovaltion keskeisiin siviili- ja sotilassektorin järjestelmiin.[6][7][5]

iPhone-käyttäjien MFA-pommitus

[muokkaa | muokkaa wikitekstiä]

Maaliskuussa 2024 raportoitiin muutamista Applen valmistamien iPhone-mobiililaitteiden käyttäjiin kohdistetusta MFA-pommitusyrityksistä. Käyttäjät pyrittiin saamaan uusimaan (resetoimaan) Apple ID -tunnuksensa. Koska ilmoitus tuli käyttäjien iPhoneen, he eivät päässeet käyttämään mobiililaitettaan jolleivat he joko hylänneet tai hyväksyneet tunnuksen uusimispyyntöä.[8][4] Eräs hyökkäyksestä raportoinut, tekoälysovellusten parissa työskentelevä henkilö oli kertonut saaneensa yli sata tälläistä ilmoitusta. Pian hänelle oli vielä soitettu valepuhelu Applen tukipuhelimelta vaikuttavasta numerosta, ja häntä oli kehotettu uusimaan Apple ID -tunnuksensa. Valesoittajalla olivat paljon muualta kerättyä käyttäjätietoa, jolla hän pyrki vakuuttamaan uusimispyynnön tulevan aidosti Applen tukipalvelusta.[4] Mikäli käyttäjä erehtyisi uusimaan Apple ID -tunnuksensa (käyttäjätunnus ja salasana on ensimmäisen vaiheen todennustapa) toisen vaiheen tunnisteena kyberrikollisen lähettämää kertakäyttöistä koodia, hyökkääjä voisi päästä uusimaan käyttäjätilin salasanan ja lukita käyttäjän ulos laitteestaan ja jopa pyyhkiä käyttäjän kaikkien Apple-laitteiden sisällön. Hyökkääjä saattaa tavoitella esimerkiksi tietoa, rahaa tai jopa Applen lahjakortteja.[8][4]

Applen mukaan käyttäjien ei tulisi hyväksyä uusimispyyntöä tälläisessä tilanteessa vaikka pyyntö toistuisi lukuisia kertoja. Yrityksen mukaan hyvä nyrkkisääntö on, ettei pyyntöä Applen salasanan resetoinnista pitäisi tulla ellei käyttäjä itse ole yrittämässä uusia Applen salasanaa.[4]

  1. MFA (MFA tarkoittaa tietoturvaan liittyen todentamista vähintään kahta eri menetelmää käyttäen. Termin suomenkielinen nimitys on monivaiheinen todentaminen; monivaiheinen todennus; monimenetelmäinen todentaminen; tai monimenetelmäinen todennus) Kyberturvallisuuden sanasto. TEPA-termipankki, termipankki.fi. Viitattu 29.3.2024. (suomeksi)
  2. a b c d MFA Fatigue Attack beyondtrust.com. Viitattu 29.3.2024. (englanniksi)
  3. a b Sergiu Gatlan: Microsoft enforces number matching to fight MFA fatigue attacks bleepingcomputer.com. 8.5.2023. Viitattu 29.3.2024. (englanniksi)
  4. a b c d e f Ana Altchek: There's a new scam targeting iPhone owners with a barrage of notifications Business Insider, businessinsider.com. 28.3.2024. Viitattu 29.3.2024. (englanniksi)
  5. a b c Dan Goodin: Lapsus$ and SolarWinds hackers both use the same old trick to bypass MFA arstechnica.com. 29.3.2022. Viitattu 29.3.2024. (englanniksi)
  6. Joseph Menn: Microsoft says it found malicious software in its systems reuters.com. 18.12.2020. Viitattu 29.3.2024. (englanniksi)
  7. Joseph Menn & Raphael Satter: Suspected Russian hackers used Microsoft vendors to breach customers reuters.com. 24.12.2020. Viitattu 29.3.2024. (englanniksi)
  8. a b Brian Krebs: Recent ‘MFA Bombing’ Attacks Targeting Apple Users 26.3.2024. krebsonsecurity.com. Viitattu 29.3.2024. (englanniksi)