Peretas lebih sering menggunakan serangan rekayasa sosial untuk mendapatkan akses kredensial perusahaan dan menembus jaringan besar.
Salah satu komponen dari serangan ini yang menjadi lebih populer dengan munculnya multi-factor authentication adalah teknik yang disebut MFA Fatigue.
Saat melanggar jaringan perusahaan, peretas biasanya menggunakan kredensial masuk karyawan yang dicuri untuk mengakses VPN dan jaringan internal.
Pada kenyataannya, mendapatkan kredensial perusahaan jauh lebih sulit bagi pelaku ancaman yang dapat menggunakan berbagai metode, termasuk serangan phishing, malware, kredensial bocor dari pelanggaran data atau membelinya di dark web marketplaces.
Guna mengatasi hal ini, semakin banyak perusahaan yang mengadopsi multi-factor authentication untuk mencegah pengguna masuk ke jaringan tanpa terlebih dahulu memasukkan bentuk verifikasi tambahan.
Informasi tambahan ini dapat berupa one-time passcode, permintaan yang meminta kita untuk memverifikasi upaya login atau penggunaan kunci keamanan hardware.
Sementara itu, pelaku ancaman dapat menggunakan banyak metode untuk melewati multi-factor authentication.
Sebagian besar mencuri cookie melalui malware atau kerangka kerja serangan phishing man-in-the-middle, seperti evilginx2.
Namun, teknik rekayasa sosial yang disebut ‘MFA Fatigue’ alias ‘MFA push spam’, semakin populer di kalangan pelaku ancaman karena tidak memerlukan infrastruktur malware atau phishing dan telah terbukti berhasil dalam serangan.
Apa itu MFA Fatigue?
Saat multi-factor authentication perusahaan dikonfigurasi untuk menggunakan notifikasi ‘push’, karyawan akan melihat perintah di perangkat seluler mereka saat seseorang mencoba masuk dengan kredensial mereka.
Pemberitahuan push MFA ini meminta pengguna untuk memverifikasi upaya login dan akan menunjukkan di mana login sedang dicoba, seperti yang ditunjukkan di bawah ini.
MFA Fatigue attack adalah ketika aktor ancaman menjalankan script yang mencoba masuk dengan kredensial curian secara berulang dan menyebabkan apa yang terasa seperti aliran permintaan push MFA tanpa akhir untuk dikirim ke smartphone pemilik akun.
Tujuannya adalah untuk menjaga dari siang hingga malam, demi memecah target postur keamanan siber dan menimbulkan rasa “fatigue/kelelahan” terkait permintaan MFA ini.
Dalam banyak kasus, pelaku ancaman akan mengeluarkan pemberitahuan MFA berulang.
Kemudian menghubungi target melalui email, platform pengiriman pesan, atau melalui telepon dengan berpura-pura menjadi support IT untuk meyakinkan pengguna agar menerima permintaan MFA.
Pada akhirnya, target menjadi sangat kewalahan, sehingga mereka secara tidak sengaja mengklik tombol ‘Setuju’ atau hanya menerima permintaan MFA untuk menghentikan banjir notifikasi yang mereka terima di ponsel mereka.
Jenis teknik social engineer ini telah terbukti sangat berhasil oleh para pelaku ancaman Lapsus$ dan Yanluowang ketika melanggar perusahaan besar dan terkenal, seperti Microsoft, Cisco dan sekarang Uber.
Oleh karena itu, jika kita adalah karyawan yang menjadi target serangan MFA Fatigue/Spam dan menerima rentetan notifikasi push MFA, jangan panik, jangan setujui permintaan MFA dan jangan bicara dengan orang tak dikenal yang mengaku dari perusahaan kita.
Sebagai gantinya, hubungi admin TI yang dikenal untuk perusahaan kita, departemen TI kita atau supervisor kita dan jelaskan bahwa kita yakin akun kita telah disusupi dan sedang diserang.
Kita juga perlu mengubah kata sandi, jika memungkinkan untuk mencegah peretas melanjutkan masuk dan membuat push notifications MFA lebih lanjut.
Setelah kata sandi diubah, pelaku ancaman tidak akan lagi dapat mengeluarkan spam MFA.
Recent Comments