Dalam dunia digital saat ini, sistem autentikasi tradisional yang hanya menggunakan kata sandi telah terbukti rentan terhadap berbagai serangan siber. Untuk melindungi sumber daya bisnis yang penting, organisasi semakin beralih ke autentikasi multi-faktor (MFA) sebagai langkah keamanan yang lebih kuat. MFA mengharuskan pengguna untuk menyediakan beberapa faktor autentikasi untuk memverifikasi identitas mereka, memberikan lapisan perlindungan tambahan terhadap akses tidak sah. Namun, penjahat dunia maya terus berupaya mencari cara untuk menerobos sistem MFA. Salah satu metode yang mendapatkan daya tarik adalah serangan spam MFA, juga dikenal sebagai kelelahan MFA, atau pengeboman MFA. Artikel ini menyelidiki serangan spam MFA, termasuk praktik terbaik untuk memitigasi ancaman yang semakin besar ini.
Apa itu spam MFA?
Spam MFA mengacu pada tindakan berbahaya yang membanjiri email, telepon, atau perangkat terdaftar pengguna target lainnya dengan berbagai perintah MFA atau kode konfirmasi. Tujuan di balik taktik ini adalah untuk membanjiri pengguna dengan notifikasi, dengan harapan mereka secara tidak sengaja akan menyetujui login yang tidak sah. Untuk melakukan serangan ini, peretas memerlukan kredensial akun korban target (nama pengguna dan kata sandi) untuk memulai proses login dan memicu notifikasi MFA.
Teknik serangan spam MFA
Ada berbagai metode yang digunakan untuk melakukan serangan spam MFA, termasuk:
- Memanfaatkan alat atau skrip otomatis untuk membanjiri perangkat korban yang ditargetkan dengan permintaan verifikasi dalam jumlah besar.
- Menggunakan taktik rekayasa sosial untuk menipu pengguna target agar menerima permintaan verifikasi.
- Memanfaatkan API sistem MFA untuk mengirimkan sejumlah besar permintaan autentikasi palsu ke pengguna target.
Dengan menggunakan teknik ini, penyerang bertujuan untuk mengeksploitasi persetujuan yang tidak disengaja, yang pada akhirnya mendapatkan akses tidak sah ke informasi atau akun sensitif.
Contoh serangan spam MFA
Peretas semakin memanfaatkan serangan spam MFA untuk menerobos sistem MFA. Berikut adalah dua serangan siber yang dilakukan menggunakan teknik ini:
Antara bulan Maret dan Mei 2021, peretas menghindari autentikasi multi-faktor SMS perusahaan Coinbase, yang dianggap sebagai salah satu perusahaan pertukaran mata uang kripto terbesar di dunia, dan mencuri mata uang kripto dari lebih dari 6.000 pelanggan.
Pada tahun 2022, peretas membanjiri pelanggan Crypto.com dengan sejumlah besar pemberitahuan untuk menarik uang dari dompet mereka. Banyak pelanggan menyetujui permintaan transaksi penipuan secara tidak sengaja, menyebabkan kerugian 4,836.26 ETH, 443.93 BTC, dan sekitar US$66,200 dalam mata uang kripto lainnya
Cara memitigasi serangan spam MFA
Mengurangi serangan spam MFA memerlukan penerapan kontrol teknis dan penegakan kebijakan keamanan MFA yang relevan. Berikut adalah beberapa strategi efektif untuk mencegah serangan tersebut:
A. Terapkan kebijakan kata sandi yang kuat dan blokir kata sandi yang melanggar
Agar serangan spam MFA berhasil, penyerang harus terlebih dahulu mendapatkan kredensial login pengguna target. Peretas menggunakan berbagai metode untuk memperoleh kredensial ini, termasuk serangan brute force, email phishing, penjejalan kredensial, dan pembelian kredensial yang dicuri/dibobol dari web gelap. Metode pertahanan awal terhadap spam MFA adalah mengamankan kata sandi pengguna Anda. Kebijakan Kata Sandi yang menerapkan Perlindungan Kata Sandi yang Dilanggar membantu mencegah pengguna menggunakan kredensial yang disusupi, sehingga mengurangi risiko penyerang mendapatkan akses tidak sah ke akun mereka.
B. Pelatihan terhadap end-user
Program pelatihan pengguna akhir organisasi Anda harus menekankan pentingnya memverifikasi permintaan login MFA secara cermat sebelum menyetujuinya. Jika pengguna menemukan permintaan MFA dalam jumlah besar, hal ini akan menimbulkan kecurigaan dan menjadi petunjuk potensial adanya serangan siber yang ditargetkan. Dalam kasus seperti ini, sangat penting untuk mengedukasi pengguna tentang tindakan segera yang harus mereka ambil, termasuk menyetel ulang kredensial akun mereka sebagai tindakan pencegahan dan memberi tahu tim keamanan. Dengan memanfaatkan solusi pengaturan ulang kata sandi layanan mandiri seperti Specops uReset, pengguna akhir mendapatkan kemampuan untuk mengubah kata sandi mereka dengan cepat, yang secara efektif meminimalkan peluang serangan spam MFA.
C. Pembatasan request
Organisasi harus menerapkan mekanisme pembatasan tingkat yang membatasi jumlah permintaan otentikasi yang diizinkan dari satu akun pengguna dalam jangka waktu tertentu. Dengan melakukan hal ini, skrip atau bot otomatis tidak dapat membanjiri pengguna dengan jumlah permintaan yang berlebihan.
D. Pemantauan dan peringatan
Menerapkan sistem pemantauan yang kuat untuk mendeteksi dan memperingatkan pola permintaan MFA yang tidak biasa. Hal ini dapat membantu mengidentifikasi potensi serangan spam secara real-time, dan memungkinkan tindakan segera diambil.
Poin penting
- Untuk melindungi secara efektif terhadap spam MFA, organisasi harus memprioritaskan praktik keamanan yang kuat. Salah satu taktik yang efektif adalah memperkuat kebijakan kata sandi dan memblokir penggunaan kata sandi yang disusupi. Menerapkan manajemen password.
- Sebaik apapun sistem pertahanan keamanan siber harus didukung oleh peningkatan kompetensi user dan awareness yang baik terkait keamanan informasi.
- Setiap metode pertahanan akan selalu memiliki celah, sehingga perlu diupdate, karena metode serangan juga akan terus melakukan update.
Sumber: https://thehackernews.com/2024/01/mfa-spamming-and-fatigue-when-security.html
