Pod útokem: Zneužívání lidské slabiny pomocí 2FA Prompt Bombingu

2FA Prompt Bombing je typ kyberútoku, při kterém útočník zahlcuje uživatele opakovanými push notifikacemi dvoufaktorové autentizace (2FA) ve snaze je unavit. Cílem je přimět uživatele, aby schválil jednu z žádostí z frustrace nebo zmatku, čímž útočníkovi umožní přístup. Zneužívá slabin lidského faktoru v systémech 2FA, spíše než technické slabiny.

Co je 2FA Prompt Bombing?

Dvoufaktorová autentizace (2FA), nebo také Multifaktorová autentizace (MFA)  je klíčové bezpečnostní opatření navržené k přidání další vrstvy ochrany uživatelských účtů. Obvykle vyžaduje, aby uživatelé poskytli něco, co vědí (například heslo), a něco, co mají (například mobilní zařízení s ověřovacím kódem). I když 2FA významně zvyšuje bezpečnost, útočníci začali využívat slabinu ve způsobu, jakým je implementována, prostřednictvím taktiky známé jako 2FA prompt bombing.

2FA prompt bombing (doslova "bombardování výzvami"), také nazývaný MFA fatigue ("únava/zahlcení z Multifaktorové autentizace") nebo push bombing ("bombardování push notifikacemi"), je útok sociálního inženýrství, při kterém škodlivý aktér zahlcuje zařízení oběti opakovanými 2FA push notifikacemi. Cílem je obtěžovat, zmást nebo unavit cíl, dokud nakonec neschválí jednu z výzev, čímž nechtěně poskytne útočníkovi přístup ke svému účtu.

Jak to funguje?

Zde je typický scénář:

1. Útočník získá přihlašovací údaje oběti prostřednictvím phishingu, úniků dat nebo hrubou silou.
2. Útočník se pokusí přihlásit do účtu oběti, což spustí push notifikaci 2FA (např. přes aplikaci jako Duo, Okta Verify nebo Microsoft Authenticator).
3. Útočník pošle desítky nebo dokonce stovky těchto výzev v krátkém čase.
4. Oběť, zahlcená nebo podrážděná, může omylem nebo z frustrace schválit žádost.
5. Útočník získá přístup a obejde zamýšlenou bezpečnost 2FA.

V některých případech mohou útočníci kontaktovat oběť (předstírajíce, že jsou IT podpora), aby ji přesvědčili, aby výzvu přijala pod falešnou záminkou — kombinující technické zneužité s psychologickou manipulací.

Příklad 2FA Prompt Bombingu, kde se útočníci snaží získat přístup k Apple ID:

Proč je tento útok významně nebezpečný?

2FA prompt bombing poukazuje na zásadní problém v bezpečnosti: chování uživatelů je často nejslabším článkem.

1. Využívá lidskou slabinu

Bezpečnostní systémy jsou často navrženy s technickými obranami, ale prompt bombing cílí na lidskou psychologii. Opakované notifikace mohou způsobit, že uživatelé jednají bez rozmyšlení, zejména pokud jsou rozptýleni, zaneprázdněni nebo zmateni.

2. Obchází důvěryhodnou bezpečnostní vrstvu

2FA je široce považována za nejlepší praxi pro zabezpečení účtů. Pokud mohou být uživatelé přiměni ke schválení škodlivých žádostí, oslabuje to účinnost jednoho z našich nejdůvěryhodnějších bezpečnostních nástrojů.

3. Obtížné detekovat

Na rozdíl od útoků hrubou silou nebo malwaru, prompt bombing nespoléhá na kód nebo nevyužívá technické zranitelnosti. Je "jemný" a obtížný pro automatizované systémy k odlišení od legitimního chování uživatelů — což ztěžuje detekci a prevenci.

4. Získává popularitu mezi útočníky

Tato metoda byla použita při vysoce profilovaných narušeních, včetně útoků na velké korporace a vládní organizace. Její jednoduchost a účinnost ji činí přitažlivou pro kyberzločince.

Nechvalně známá skupina kyberzločinců Lapsus$ na svém Telegram kanálu přiznává použití 2FA prompt bombingu:

Jak se chránit proti 2FA Prompt Bombingu

Organizace a uživatelé mohou podniknout několik kroků k omezení této hrozby:

• Používejte porovnání čísel nebo ověřovací kódy: Místo jednoduchých výzev schválit/odmítnout nyní některé aplikace vyžadují, aby uživatel zadal kód nebo porovnal číslo zobrazené na přihlašovací obrazovce — čímž se snižuje pravděpodobnost náhodného schválení.

  Ukázka techniky "Porovnání čísel" během přihlašování k Microsoft účtu s pomocí aplikace Authenticator:

  

• Omezte počet pokusů: Systémy mohou omezit, kolikrát je uživatel vyzván v určitém čase, což pomáhá zabránit záplavě žádostí.

• Vzdělávejte uživatele: Povědomí je klíčové. Uživatelé by měli vědět, že nemají schvalovat neočekávané výzvy a hlásit jakoukoli podezřelou aktivitu.

• Přijměte phishing-rezistentní MFA: Řešení jako bezpečnostní klíče (např. YubiKey) nebo biometrické ověření nabízí robustnější ochranu proti sociálnímu inženýrství.

  Sociální inženýrství je manipulační technika, která se používá k oklamání lidí, aby prozradili důvěrné informace nebo provedli akce, které ohrožují bezpečnost. Místo přímého útoku na systémy se zaměřuje na lidskou psychologii - například na důvěru, strach nebo naléhavost.

• Monitorujte a upozorňujte: Implementujte logování a upozornění na opakované žádosti MFA, které mohou signalizovat pokus o útok.

Doporučení k vaší bezpečnosti na závěr

1. Jak snadno a efektivně zvýšit kybernetickou bezpečnost ve vaší firmě? Podívejte se, jak Redamp.io  může pomoci chránit vás.

2. Zůstaňte informováni! Čtěte náš blog  a sledujte notifikace v aplikaci o nejnovějších hrozbách, které pro vás monitorujeme.

3. Buďte opatrní! Věnujte zvláštní pozornost phishingu  a ransomwaru .

Zdroje: krebsonsecurity.com , beyondtrust.com , jeffreyappel.nl , techcommunity.microsoft.com