Giriş
Günümüzde çok faktörlü kimlik doğrulama (MFA), kimlik güvenliğini artırmak amacıyla yaygın olarak kullanılmaktadır. Ancak, siber saldırganlar, bu sistemlerdeki zaafları kullanarak, MFA onayı almaya çalışarak yetkisiz erişim elde etmenin yollarını bulmuşlardır.
Saldırı Nasıl Çalışıyor?
Bu saldırı, başarılı bir şekilde gerçekleştirilebilmesi için üç temel unsura ihtiyaç duyar:
- Geçerli hesap kimlik bilgileri, genellikle karanlık webdeki ihlal edilmiş şifre dökümlerinden elde edilir
- PUSH tabanlı MFA kullanan bir giriş portalı (örneğin, VPN, Microsoft 365, Okta veya Duo)
- Her giriş denemesinde uyarılan bir kurban
Saldırganlar, sürekli olarak MFA onay bildirimlerini tetiklemeye çalışarak, hedef kullanıcıyı kandırmayı veya yıpratmayı hedefler. Bu işlem bazen bir vishing aramasıyla da desteklenir; burada saldırgan, kullanıcıyı sosyal mühendislik ile kandırmaya çalışır. Önemli olan, bu yöntemlerin yalnızca bir kez başarılı olması gerektiğidir.
Eğer onay verilirse, saldırgan kullanıcı olarak giriş yapmış olur ve güvenlik sistemleri genellikle bu durumu tespit edemez.
Etkilenen Sistemler
2022 yılında yaşanan Cisco veri ihlali, bu tekniğin ne kadar etkili olduğunu gösteren önemli bir örnek teşkil etmektedir. Yanluowang fidye yazılım grubuna bağlı bir saldırgan, bir Cisco çalışanının kişisel Google hesabını ele geçirerek, kullanıcının Cisco VPN şifresini içeren tarayıcıda saklanan kimlik bilgilerini senkronize hale getirmiştir.
Saldırgan, daha sonra çalışanın telefonuna MFA bildirimleri göndermiştir. Başlangıçta başarılı olamayan saldırgan, daha sonra IT desteğinden geldiğini iddia eden vishing aramaları yaparak, çalışanı bir bildirim onayı vermeye ikna etmiştir. Bu onay sonrasında, saldırgan çalışanın VPN erişimine sahip olmuş ve ardından kendi cihazlarını MFA için kayıt ettirerek, yönetimsel yetkilere yükselmiş, Citrix sunucuları ve alan denetleyicilerine erişmiş ve yaklaşık 2.8GB veri çalmıştır. Bu tür bir saldırının, güçlü güvenlik önlemlerine sahip bir şirkette bile başarılı olması, tehdidin ne kadar tehlikeli ve etkili hale geldiğini ortaya koymaktadır.
Neden Push MFA Riskleri Ortadan Kaldırmıyor?
Push tabanlı MFA’nın sorunu, kullanıcıların giriş onayını verirken sadece oldukça sınırlı bilgiye erişmeleri ve isteğin nereden geldiğini, hangi cihazın kullanıldığını, ya da giriş girişiminin gerçekten kullanıcı tarafından yapılıp yapılmadığını bilememeleridir. Başlangıçta bu durum yönetilebilir görünebilir. Ancak, sürekli olarak gelen bildirimler karşısında, çoğu kullanıcı bir sorun olduğunu düşünüp saldırıyı fark etmeyebilir.
IT desteğinden gelen bir telefonla birleştiğinde, durum daha da karmaşık hale gelir. Kullanıcı, dikkatli davranmak yerine, rutin ve meşru bir senaryoya yanıt vererek hareket eder.
3 Yöntemle Kuruluşlar Prompt Bombing’i Önleyebilir
1. Yorgunluk ve phishing’e dayanıklı MFA unsurları kullanın
Push bildirimleri, en zayıf MFA türlerinden biridir. Phishing-resistant unsurlar, örneğin FIDO2 güvenlik anahtarları, donanım belirteçleri (YubiKey gibi) veya doğrulayıcı uygulamalardan sayı eşleştirme kodları gibi yöntemler, kötüye kullanılmaları daha zor olan seçeneklerdir.
Specops Secure Access gibi çözümler, 15’ten fazla kimlik sağlayıcısını destekleyerek, yüksek riskli erişim noktaları için push tabanlı MFA’yı emekliye ayırmaktadır.
2. İhlal edilmiş parolaları kaynağında engelleyin
Prompt bombing yalnızca saldırganın geçerli bir parolaya sahip olması durumunda gerçekleştirilir. Active Directory’yi, ihlal edilmiş parolaların bulunduğu canlı bir veritabanıyla sürekli olarak tarayarak ve eşleşme olduğunda sıfırlama zorunluluğu getirerek, bu tür saldırılar için zemin ortadan kaldırılabilir.
3. Girişte risk sinyalleri ekleyin
Kullanıcı davranışını dikkatli bir şekilde izleyen koşullu erişim politikaları, coğrafya, cihaz durumu ve giriş zamanlarını dikkate alarak, bir onay bildirimi kullanıcı telefonuna ulaşmadan önce durdurabilir. Bu, kullanıcı davranışına olan bağımlılığı azaltarak, şüpheli girişlerden kaynaklanan sorunları daha erken aşamada çözmeyi sağlar.
Sonuç
MFA prompt bombing, MFA sistemlerinden vazgeçmek için bir neden olmamakta, ancak bazı unsurların yetersizliklerini ortaya koymaktadır. Push bildirimlerinin anlamlı bir bağlam olmadan sürekli tetiklenebilmesi, kontrolün beklenenden daha kolay bir şekilde etkilenmesine neden olabilir.
Eğer push, hala sizin varsayılan ikinci faktörünüzse, bu kararı gözden geçirmenizde fayda var. Daha güvenli MFA yöntemleri, kullanıcı kimliğini korumak açısından daha sağlam bir yapı sunabilir. Koruma önlemleri almak, güncellemeler yapmak ve güvenlik açığı olan parolaları taramak, siber güvenliğinizi artırmak için atılacak önemli adımlardır.
