Xác thực đa yếu tố (MFA) được kỳ vọng sẽ lấp đầy lỗ hổng chí mạng trong bảo mật danh tính. Nó có nghĩa là, ngay cả khi kẻ tấn công sở hữu thông tin đăng nhập tài khoản, chúng vẫn không thể truy cập nếu thiếu yếu tố thứ hai. Mặc dù logic đó rất chặt chẽ, nhưng những kẻ tấn công hiện đã nhận ra rằng chúng không cần phải đánh cắp yếu tố thứ hai: chúng chỉ cần lừa người dùng tự tay dâng nộp nó.
Nếu đội ngũ nhân viên của bạn đang xác thực bằng hình thức MFA dựa trên thông báo đẩy (push-based MFA), thì kiểu tấn công này là một mối đe dọa trực tiếp đối với tổ chức của bạn. Các công cụ như Specops Secure Access được xây dựng đặc biệt để lấp đầy khoảng trống đó, nhưng trước khi đi sâu vào giải pháp, chúng ta cần hiểu kỹ thuật này hoạt động như thế nào.
MFA prompt bombing hoạt động như thế nào
Cuộc tấn công này đòi hỏi ba yếu tố chính để thành công:
- Thông tin đăng nhập tài khoản hợp lệ, thường được thu thập từ các vụ rò rỉ mật khẩu trên Dark Web.
- Một cổng đăng nhập sử dụng push-based MFA (chẳng hạn như VPN, Microsoft 365, Okta, hoặc Duo).
- Một nạn nhân nhận được thông báo mỗi khi kẻ tấn công cố gắng đăng nhập.
Kẻ tấn công liên tục kích hoạt các yêu cầu xác thực (prompt), cố gắng đánh lừa mục tiêu hoặc làm họ mệt mỏi đến mức phải nhấn chấp nhận yêu cầu. Đôi khi, kẻ tấn công sẽ kết hợp prompt bombing với một cuộc gọi vishing giả danh nhân viên hỗ trợ IT để thực hiện kỹ thuật thao túng tâm lý (social engineering). Điều nguy hiểm là những phương pháp này chỉ cần thành công một lần duy nhất.
Nếu yêu cầu được phê duyệt, kẻ tấn công sẽ đăng nhập dưới danh nghĩa người dùng đó. Các hệ thống bảo mật thường sẽ không đưa ra cảnh báo, vì lần đăng nhập này trông hoàn toàn hợp lệ.
Vụ xâm nhập Cisco
Vụ vi phạm dữ liệu của Cisco năm 2022 là một ví dụ điển hình về mức độ hiệu quả của kỹ thuật này, ngay cả đối với các chương trình bảo mật đã trưởng thành. Một kẻ tấn công liên quan đến nhóm ransomware Yanluowang đã xâm nhập vào tài khoản Google cá nhân của một nhân viên Cisco, nơi đang đồng bộ hóa các thông tin đăng nhập được lưu trữ trên trình duyệt, bao gồm cả mật khẩu Cisco VPN của nhân viên đó.
Từ đó, kẻ tấn công bắt đầu gửi hàng loạt yêu cầu MFA đến điện thoại của nhân viên. Ban đầu nỗ lực này không thành công, vì vậy chúng bắt đầu sử dụng các cuộc gọi vishing giả danh các tổ chức hỗ trợ đáng tin cậy, nói bằng nhiều giọng khác nhau và cuối cùng đã thuyết phục được nhân viên chấp nhận thông báo đẩy.
Sau khi được chấp nhận, kẻ tấn công đã có quyền truy cập VPN với tư cách là nhân viên đó. Sau đó, chúng đăng ký các thiết bị của riêng mình cho MFA để duy trì sự hiện diện lâu dài, leo thang đặc quyền quản trị, tiếp cận các máy chủ Citrix và Domain Controllers, và trích xuất khoảng 2.8GB dữ liệu trước khi bị phát hiện và ngăn chặn. Việc prompt bombing thành công đối với một công ty như Cisco – một đơn vị không hề có hệ thống bảo mật yếu kém – đã làm nổi bật mức độ nguy hiểm và hiệu quả của kiểu tấn công này.
Tại sao push MFA không loại bỏ hoàn toàn rủi ro
Vấn đề với push-based MFA là người dùng được yêu cầu phê duyệt hoặc từ chối một lần đăng nhập với rất ít thông tin đi kèm. Không có chỉ báo rõ ràng về việc yêu cầu bắt nguồn từ đâu, thiết bị nào đang được sử dụng, hay liệu nỗ lực đăng nhập đó có phải do chính người dùng thực hiện hay không. Nếu chỉ diễn ra đơn lẻ, điều này có thể kiểm soát được. Nhưng khi các yêu cầu bắt đầu xuất hiện dồn dập, người dùng dễ dàng lầm tưởng rằng hệ thống đang gặp lỗi hơn là nhận ra đó là một cuộc tấn công tiềm ẩn.
Nếu điều đó kết hợp với một cuộc gọi điện thoại đúng lúc từ một người giả danh hỗ trợ IT, tình hình sẽ trở nên khó đánh giá hơn rất nhiều. Tại thời điểm đó, người dùng không phải đang hành động bất cẩn, mà là đang phản hồi lại một tình huống được thiết kế để tạo cảm giác quen thuộc và hợp lệ, bằng chính thông tin đăng nhập mà kẻ tấn công đã có sẵn.
3 cách để các tổ chức ngăn chặn prompt bombing
1. Sử dụng các yếu tố MFA chống mệt mỏi và chống phishing
Thông báo đẩy là hình thức MFA phổ biến nhưng yếu nhất. Các yếu tố chống phishing như khóa bảo mật FIDO2, thẻ phần cứng như YubiKey, hoặc mã khớp số (number-matching) từ các ứng dụng xác thực sẽ khó bị lạm dụng hơn.
Specops Secure Access hỗ trợ hơn 15 nhà cung cấp danh tính và bao gồm các tùy chọn chống mệt mỏi này cho đăng nhập Windows, RDP và kết nối VPN, giúp các tổ chức có thể loại bỏ MFA chỉ dùng push cho các điểm truy cập rủi ro cao.
2. Chặn mật khẩu bị lộ ngay từ nguồn
Prompt bombing chỉ khả thi khi kẻ tấn công đã có mật khẩu hợp lệ. Việc quét Active Directory (AD) liên tục so với cơ sở dữ liệu thực tế về các mật khẩu bị rò rỉ và yêu cầu đặt lại mật khẩu khi phát hiện trùng khớp sẽ giúp triệt tiêu nguồn cơn của cuộc tấn công. Việc dựa vào các chính sách mật khẩu mặc định của AD sẽ không thể phát hiện các mật khẩu bị tái sử dụng hoặc bị rò rỉ. Nếu bạn chưa biết tình trạng hiện tại của mình, Specops Password Auditor là một công cụ quét AD miễn phí, chỉ đọc, giúp gắn cờ các lỗ hổng như mật khẩu bị lộ hoặc tài khoản quản trị không hoạt động.
3. Thêm các tín hiệu rủi ro vào quá trình đăng nhập
Các chính sách truy cập có điều kiện (Conditional Access) dựa trên vị trí địa lý, trạng thái thiết bị và thời gian đăng nhập có thể chặn hoặc yêu cầu xác thực nâng cao trước khi bất kỳ thông báo đẩy nào được gửi đến điện thoại người dùng. Điều này giúp giảm sự phụ thuộc vào hành vi của người dùng và đưa vào ngữ cảnh thời gian thực để chặn các lần đăng nhập đáng ngờ trước khi chúng dẫn đến việc chiếm đoạt tài khoản thành công.
MFA vẫn rất quan trọng
MFA prompt bombing không phải là lý do để từ bỏ MFA, nhưng nó cho thấy những điểm yếu của một số phương thức xác thực nhất định. Khi các yêu cầu phê duyệt có thể được kích hoạt liên tục mà không có ngữ cảnh rõ ràng, biện pháp kiểm soát này trở nên dễ bị thao túng hơn dự kiến.
Nếu thông báo đẩy vẫn là yếu tố xác thực thứ hai mặc định của bạn, đã đến lúc cân nhắc lại quyết định đó. Các phương pháp khớp số hoặc chống phishing sẽ tăng cường tính bảo mật của chính phương thức MFA, trong khi việc quét mật khẩu bị lộ sẽ hạn chế rủi ro kẻ tấn công vượt qua bước xác thực đầu tiên. Nếu bạn đang muốn nâng cấp bảo mật danh tính với các giải pháp MFA mạnh mẽ hơn, hãy liên hệ với Specops.