2026. gada 12. jūlijs

MFA nogurums: kā uzbrucēji apiet otro faktoru, ko jau esat iegādājies

Push-bombing, SIM apmaiņa un AiTM ik nedēļu apiet SMS un viena pieskāriena MFA. Kāpēc tā notiek un ko īsti nozīmē pikšķerēšanas noturība.

Lielākajai daļai organizāciju, kurās pērn notika drošības pārkāpums, daudzfaktoru autentifikācija bija ieslēgta. Tieši tā ir neērtā daļa. Uzbrucēji otro faktoru neuzlauza; viņi to apgāja, izmantojot paņēmienus, kas strādā tieši tāpēc, ka esošā MFA liek nogurušam cilvēkam pieņemt drošības lēmumu vissliktākajā iespējamajā brīdī.

Ja jūsu MFA ir SMS kods vai viena pieskāriena “Apstiprināt?” paziņojums, tas ir desmit jūsu uzmanības minūšu vērts. Šīs divas metodes tagad ir tās, ap kurām uzbrucēji plāno savu darbību, nevis tās, kas viņus aptur.

Trīs uzbrukumi, kas pārvar “kaut kādu MFA”

  • Push-bombing (MFA nogurums). Uzbrucējam parole jau ir (no nopludinātu datu kopas, pikšķerēšanas vai atkārtoti izmantotas paroles). Viņš izraisa vienu pieteikšanos pēc otras, raidot lietotāja tālrunī apstiprinājuma pieprasījumu virkni, līdz kāds no apjukuma vai vienkārši lai to izbeigtu, pieskaras Apstiprināt. Viens pieskāriens, un viņš ir iekšā. Tieši tā sākās vairāki plaši zināmi drošības pārkāpumi.
  • SIM apmaiņa (SIM swapping). SMS nekad nebija paredzēts kā drošības kanāls. Uzbrucējs, kurš pārliecina (vai uzpērk) mobilo operatoru pārnest numuru uz jaunu SIM karti, saņem katru uz to nosūtīto vienreizējo kodu. Nekāda ļaunprātīga programmatūra, nekāda pikšķerēšanas lapa — tikai zvans klientu atbalsta dienestam.
  • Adversary-in-the-middle (AiTM), uzbrukums “pretinieks pa vidu”. Pārliecinoša viltota pieteikšanās lapa reāllaikā darbojas kā starpnieks īstajai. Upuris ievada savu paroli un savu kodu; uzbrucējs abus nekavējoties pārsūta tālāk un nozog iegūto sesijas pilnvaru. Kods bija derīgs. MFA “nostrādāja”. Konts tik un tā ir zaudēts.

Kopīgais pavediens: katra no šīm metodēm balstās uz noslēpumu vai apstiprinājumu, ko var pārsūtīt: nokopēt no likumīgā lietotāja un atkārtoti izmantot uzbrucēja labā. Apturiet pārsūtīšanu, un visi trīs uzbrukumi apstājas līdz ar to.

Kas patiešām tos aptur: pret pikšķerēšanu noturīga, aparatūrai piesaistīta autentifikācija

“Noturīga pret pikšķerēšanu” nav mārketinga frāze. Tā apzīmē konkrētu īpašību. Vienlaikus jābūt spēkā diviem nosacījumiem: atslēga nekad nedrīkst pamest lietotāja ierīci, tāpēc nav nekā, ko pārtvert un izmantot atkārtoti; un lietotājs var izlasīt, ko tieši viņš apstiprina, tāpēc nekas netiek apstiprināts akli.

  • Atslēga glabājas tālruņa drošajā aparatūrā. Tā tur tiek ģenerēta un to nevar eksportēt, nokopēt vai pārnest ar SIM apmaiņu. Nav kopīga noslēpuma, kas atrastos datubāzē vai pienāktu pa SMS, un tieši tas noslēdz pārtveršanas, SIM apmaiņas un AiTM pārsūtīšanas iespējas.
  • Jūs varat izlasīt, ko tieši apstiprināt. Tieši šī daļa aptur push-bombing, un par to ir vērts būt precīzam: nedz atslēga, nedz biometrija nevar palīdzēt, tiklīdz pieprasījums sasniedz tālruni, jo uzbrukums vienkārši lūdz lietotāju pateikt “jā”. Biometrija tikai apliecina, ka pieskaras tālruņa īpašnieks, nevis to, ka pieteikšanās ir likumīga. Push-bombing sagrauj tas, ka katrs pieprasījums nes konkrētu, izlasāmu aprakstu par to, kas tieši tiek apstiprināts: šī pieteikšanās, šis serveris, no šejienes, tagad. Pieprasījums, ko lietotājs nekad nav uzsācis, ir acīmredzami svešs, tāpēc viņš to noraida. Aizsardzība ir apraksts, kas ir pietiekami precīzs, lai to izlasītu ar vienu skatienu, nevis noguris cilvēks, kas pretojas tukšam “Apstiprināt?”.
  • Sesiju nevar atkārtoti izmantot. Tā kā paraksts ir kriptogrāfisks un piesaistīts pieprasījumam, AiTM starpniekam nav nekā zagšanas vērta.

Tā ir atšķirība starp MFA, kas paceļ latiņu, un MFA, ko uzbrucējs jau ir iepriekš ieprogrammējis apiet.

Kur šeit iederas Notakey

Notakey ir veidots tieši ap šo īpašību. Lietotāja atslēga tiek ģenerēta viņa tālruņa drošajā aparatūrā un to nekad nepamet, un katrs apstiprinājums ir parakstīts, ar laika zīmogu apzīmogots ieraksts par konkrēto darbību, nevis anonīms pieskāriens.

  • Nav kopīga noslēpuma, ko izpikšķerēt, nav SMS, ko pārtvert, nav koda, ko pārsūtīt.
  • Pret push-bombing aizsardzība ir tas, ko lietotājs izlasa: katrs pieprasījums rāda precīzu aprakstu par to, kas tieši tiek apstiprināts (kura sistēma, kura darbība, no kurienes), tāpēc pieprasījums, ko neviens nav uzsācis, ir acīmredzams jau pēc pirmā skatiena un tiek noraidīts. Nav nekā, kas būtu jāapstiprina akli.
  • Tas aptver ceļus, ko uzbrucēji patiešām izmanto; skatiet praktiskās rokasgrāmatas par divfaktoru autentifikāciju VPN caur RADIUS, Windows attālināto darbvirsmu un Linux SSH.

Pārliecinieties paši

Ātrākais veids, kā sajust atšķirību, ir apstiprināt darījumu pret pikšķerēšanu noturīgā veidā: izlasot un parakstot konkrētu darbību no sava tālruņa, nevis pieskaroties bezkonteksta pieprasījumam.

Izmēģiniet tiešsaistes demo un parakstiet vienu darījumu aptuveni divās minūtēs vai pieprasiet demo, un mēs izplānosim jūsu VPN, SSO vai Windows pieteikšanos kā izmēģinājuma projektu jūsu pašu infrastruktūrā.

← Visi raksti

Pirmā pieteikšanās bez paroles — jau šonedēļ

30 minūšu saruna ar inženieri, nevis pārdošanas prezentācija. Kopīgi izplānosim, kā jūsu VPN, SSO vai Windows vidē palaist strādājošu pilotprojektu.