Tulisan ini pertama kali diterbitkan pada tahun 2022 dan telah diperbarui.
Dengan laporan terbaru tentang keberhasilan pengeboman cepat MFA, yang juga dikenal sebagai push bombing atau serangan kelelahan MFA, RSA telah menerima lebih banyak permintaan untuk panduan praktis tentang cara mengurangi risiko. Kami sebelumnya telah menguraikan bagaimana penyerang menggunakan permintaan persetujuan yang berulang-ulang untuk menekan pengguna agar menerima upaya masuk yang curang. Artikel ini dibangun di atas fondasi tersebut dan berfokus pada RSA ID Plus konfigurasi yang dapat Anda gunakan untuk mendeteksi pola yang mencurigakan, membatasi persetujuan push ketika risiko meningkat, dan memperkuat pertahanan Anda terhadap pengeboman cepat MFA.
Bom cepat MFA, juga disebut bom dorong atau Serangan kelelahan MFA, adalah ketika penyerang berulang kali memicu permintaan persetujuan MFA ke perangkat pengguna. Tujuannya adalah untuk membuat pengguna kewalahan hingga mereka menyetujui satu permintaan, sering kali setelah penyerang mendapatkan kata sandi pengguna.
Ini berfungsi karena berbasis push otentikasi multi-faktor bergantung pada pengguna untuk menolak permintaan yang mencurigakan pada saat itu juga. Faktor-faktor yang membutuhkan input pengguna yang disengaja, seperti memasukkan kode sandi sekali pakai atau menggunakan autentikator yang tahan terhadap phishing, pada umumnya tidak terlalu rentan karena penyerang tidak dapat dengan mudah mengirimkan spam persetujuan.
Serangan MFA prompt bombing, push bombing, dan MFA fatigue biasanya dimulai setelah penyerang mendapatkan nama pengguna dan kata sandi yang valid. Penyerang mencoba untuk masuk dan berulang kali memicu permintaan MFA berbasis push ke perangkat terdaftar pengguna. Setiap permintaan meminta pengguna untuk menyetujui atau menolak upaya masuk.
Karena autentikasi push dirancang untuk kenyamanan, pengguna dapat menyetujui akses dengan satu ketukan. Jika cukup banyak permintaan yang dikirim secara berurutan, pengguna yang terganggu atau lelah pada akhirnya dapat menyetujui satu permintaan, yang memungkinkan penyerang untuk menyelesaikan proses autentikasi.
Otentikasi berbasis push bekerja dengan baik dalam skenario yang sah karena menghilangkan kebutuhan akan autentikator fisik dan mengurangi gesekan dibandingkan dengan token perangkat keras atau kode sandi sekali pakai yang dimasukkan secara manual. Akan tetapi, model menyetujui atau menolak ini bergantung pada pengguna untuk mengenali dan menolak upaya yang mencurigakan, yang menciptakan kesempatan untuk serangan bom yang cepat.
Jenis-jenis serangan bom cepat MFA
Meskipun sebagian besar serangan bom MFA menargetkan notifikasi push, ada beberapa variasi yang harus dipahami oleh tim keamanan:
- Bom Dorong (Kelelahan MFA Klasik): Notifikasi push berulang akan dikirim hingga pengguna menyetujui permintaan.
- Serangan Rekayasa Sosial Hibrida: Setelah melakukan push bombing, penyerang menghubungi pengguna, menyamar sebagai bagian dukungan TI, dan menginstruksikan mereka untuk menyetujui permintaan tersebut.
- Upaya Pembanjiran OTP: Dalam beberapa kasus, penyerang berulang kali memicu kode sandi satu kali melalui SMS atau saluran pengiriman lainnya, mencoba membingungkan pengguna atau menggabungkan taktik ini dengan phishing.
Memahami variasi ini membantu organisasi merancang pertahanan berlapis daripada mengandalkan kewaspadaan pengguna saja.
Serangan bom yang cepat berhasil karena mereka menargetkan perilaku manusia dan juga teknologi. Ketika pengguna menerima permintaan autentikasi, panggilan telepon, atau pesan yang berulang-ulang, penyerang bertujuan untuk menciptakan kebingungan, urgensi, dan perilaku persetujuan yang rutin. Itulah sebabnya mengapa mempertahankan diri dari kelelahan MFA dimulai dengan memberikan ekspektasi yang jelas kepada pengguna, jalur pelaporan yang sederhana, dan cara-cara yang dapat diandalkan untuk memverifikasi permintaan yang mencurigakan.
Pengguna membutuhkan pelatihan berkelanjutan untuk menjaga kesadaran
Pengguna harus mengetahui bahwa setiap permintaan autentikasi yang tidak mereka lakukan harus dianggap mencurigakan. Pelatihan kesadaran keamanan tahunan dapat mendukung kepatuhan, namun jarang sekali mempersiapkan pengguna untuk upaya rekayasa sosial yang bergerak cepat. Panduan yang singkat dan berulang-ulang lebih efektif karena dapat memperkuat perilaku yang mencurigakan dalam situasi nyata.
Pengguna membutuhkan cara yang jelas untuk merespons
Ketika pengguna menerima notifikasi push atau pesan tindak lanjut yang tidak diharapkan, mereka harus tahu persis apa yang harus dilakukan selanjutnya. Itu berarti menyediakan cara yang sederhana dan mudah diketahui untuk melaporkan masalah dan menghubungi meja layanan atau tim keamanan. Semakin mudah proses ini, semakin besar kemungkinan pengguna untuk bertindak cepat.
Verifikasi mengurangi risiko rekayasa sosial
Penyerang sering kali menggabungkan serangan bom push dengan panggilan, teks, email, atau pesan obrolan untuk menekan pengguna agar menyetujui permintaan. Organisasi harus menentukan bagaimana tim dukungan menghubungi pengguna secara sah dan memberikan metode tepercaya kepada karyawan untuk memverifikasi komunikasi sebelum mengambil tindakan.
Pertanyaan untuk diajukan
Tim keamanan harus mempertimbangkan pertanyaan-pertanyaan berikut ini untuk mempertahankan diri dari serangan bom cepat MFA:
- Apakah pengguna mengetahui cara merespons permintaan push yang tidak terduga?
- Dapatkah pengguna dengan cepat melaporkan peristiwa autentikasi yang mencurigakan?
- Apakah karyawan tahu cara menghubungi meja layanan atau tim keamanan?
- Apakah pengguna memahami bagaimana penjangkauan dukungan yang sah harus dilakukan?
- Apakah ada proses yang jelas untuk memverifikasi apakah pesan, panggilan, atau permintaan itu nyata?
Dalam skenario pengeboman yang cepat, penyerang membuat persetujuan push berulang-ulang dalam waktu singkat. Pengguna sering kali menolak atau mengabaikan permintaan awal, tetapi satu persetujuan yang tidak disengaja dapat menyelesaikan proses masuk. Hal ini membuat deteksi berbasis pola menjadi sangat penting.
Carilah indikator seperti:
- Penolakan push berulang atau batas waktu untuk pengguna yang sama dalam waktu singkat
- Beberapa permintaan MFA secara berurutan, terutama di luar perilaku login normal
- Upaya masuk dari perangkat, alamat IP, atau lokasi yang tidak dikenal terkait dengan akun yang sama
- Lonjakan aktivitas push di beberapa pengguna, yang dapat menunjukkan kampanye yang lebih luas
Satu kali penolakan tidak mengindikasikan adanya serangan. Beberapa penolakan atau timeout yang dikelompokkan bersama, terutama ketika dipasangkan dengan sinyal risiko lainnya, harus memicu penyelidikan.
Mendeteksi bom yang cepat di RSA ID Plus
Setiap peristiwa otentikasi di RSA ID Plus dicatat dengan data peristiwa terperinci yang dapat digunakan untuk mengidentifikasi pola pengeboman yang cepat. Tim keamanan harus memantau kejadian yang berulang atau tidak normal seperti:
- 702 - Menyetujui autentikasi gagal: Waktu respons pengguna habis
- 703 - Menyetujui otentikasi gagal: Pengguna menolak persetujuan
- 802 - Otentikasi biometrik perangkat gagal: Waktu habis
- 803 - Otentikasi biometrik perangkat gagal
Ketika peristiwa ini muncul secara berurutan untuk pengguna yang sama, mereka dapat mengindikasikan upaya pengeboman MFA yang aktif. Memasangkan pola log ini dengan sinyal perangkat, lokasi, dan keyakinan akan meningkatkan akurasi dan membantu tim merespons sebelum persetujuan berhasil dilakukan.
Pertahanan yang efektif membutuhkan lebih dari sekadar memberi tahu pengguna untuk tidak menyetujui permintaan yang tidak dikenal. Organisasi harus menggabungkan pendidikan pengguna, opsi faktor yang lebih kuat, dan pemantauan untuk mengurangi peluang penyalahgunaan.
MFA berbasis push rentan karena bergantung pada pengguna yang mengambil keputusan yang tepat pada saat itu juga. Faktor-faktor yang membutuhkan tindakan pengguna yang disengaja, seperti kode sandi sekali pakai atau pengautentikasi yang tahan terhadap phishing, pada umumnya tidak terlalu rentan terhadap permintaan persetujuan yang berulang-ulang.
Langkah-langkah pertahanan utama meliputi:
- Mendidik pengguna untuk menolak permintaan yang tidak diharapkan, segera melaporkannya, dan mengatur ulang kredensial jika diperlukan.
- Lebih memilih faktor yang lebih kuat untuk aplikasi, pengguna, dan skenario akses yang berisiko lebih tinggi.
- Pantau permintaan yang ditolak atau habis waktunya secara berulang-ulang dan waspadai pola yang mencurigakan.
- Mengamankan pendaftaran dan pemulihan MFA sehingga penyerang tidak dapat mendaftarkan perangkat baru setelah akses diperoleh.
- Memberi tahu pengguna ketika autentikator ditambahkan, dihapus, atau diubah.
- Selidiki tanda-tanda kredensial yang dikompromikan dan tinjau apakah kebijakan MFA mengizinkan terlalu banyak akses dengan verifikasi terbatas.
Ketika semua kontrol ini bekerja bersama, organisasi membatasi paparan mereka terhadap serangan bom yang segera terjadi.
Dalam RSA ID Plus, metode autentikasi dipetakan ke tingkat jaminan, dan administrator dapat membuat kebijakan yang menentukan tingkat jaminan mana yang diperlukan berdasarkan konteks. Ketika risiko meningkat, kebijakan dapat memerlukan metode autentikasi yang lebih kuat daripada mengizinkan persetujuan push.
RSA ID Plus juga mendukung pendekatan yang lebih dinamis melalui Keyakinan Identitas. Mesin kepercayaan mengevaluasi upaya autentikasi secara real time dan mengembalikan skor kepercayaan tinggi atau rendah. Sinyal ini dapat digunakan dalam keputusan kebijakan untuk mengizinkan persetujuan push ketika kepercayaan tinggi dan memerlukan autentikasi step-up ketika kepercayaan rendah.
Untuk pengguna yang ditandai sebagai berisiko tinggi, daftar pengguna berisiko tinggi memungkinkan kontrol yang lebih ketat. Alat keamanan dapat menandai pengguna sebagai berisiko tinggi berdasarkan peringatan atau aktivitas yang mencurigakan, dan kebijakan kemudian dapat menolak akses atau memerlukan faktor jaminan yang lebih tinggi untuk mengurangi paparan taktik kelelahan MFA.
Jika Anda menyetujui permintaan MFA yang tidak Anda lakukan, anggap saja sebagai potensi pembobolan akun. Segera laporkan insiden tersebut kepada tim keamanan Anda, lalu ubah kata sandi dan tinjau aktivitas masuk terbaru untuk sesi atau perangkat yang mencurigakan. Tim keamanan Anda juga harus mencabut sesi yang aktif, mengonfirmasi bahwa tidak ada pengautentikasi baru yang didaftarkan, dan mewajibkan autentikasi tingkat lanjut sebelum memulihkan akses.
MFA prompt bombing, juga disebut push bombing atau serangan kelelahan MFA, adalah ketika penyerang berulang kali memicu permintaan persetujuan MFA ke perangkat pengguna. Tujuannya adalah untuk membuat pengguna kewalahan hingga mereka menyetujui satu permintaan, sering kali setelah penyerang mendapatkan kata sandi pengguna.
Jangan menyetujuinya. Tolak permintaan tersebut jika Anda memiliki opsi tersebut, dan laporkan kepada tim keamanan Anda sesegera mungkin. Jika Anda menerima permintaan berulang kali, hentikan dan verifikasi apakah ada orang yang mencoba masuk ke akun Anda. Sebagai tindakan pencegahan, atur ulang kata sandi Anda dan ikuti panduan organisasi Anda untuk memvalidasi keamanan perangkat dan akun.
Pendeteksian biasanya berdasarkan pola. Carilah penolakan push berulang kali atau batas waktu untuk pengguna yang sama dalam waktu singkat, semburan permintaan MFA di luar perilaku login normal, atau upaya masuk dari perangkat atau lokasi yang tidak dikenal. Pola-pola ini merupakan sinyal yang lebih kuat jika dihubungkan dengan indikator risiko lainnya.
Kurangi ketergantungan pada persetujuan pengguna saja. Gunakan kebijakan yang membatasi kapan autentikasi push diperbolehkan, mewajibkan autentikasi tingkat lanjut saat risiko meningkat, dan memantau permintaan yang ditolak atau habis masa berlakunya secara berulang-ulang. Mengamankan pendaftaran dan pemulihan MFA juga penting agar penyerang tidak dapat mendaftarkan perangkat baru setelah mendapatkan akses.
Push MFA bisa efektif, tetapi lebih rentan terhadap taktik berbasis kelelahan karena bergantung pada pengguna yang membuat keputusan yang tepat dengan cepat. Organisasi dapat mengurangi risiko dengan menggabungkan push dengan kontrol berbasis risiko, opsi autentikasi yang lebih kuat untuk akses berisiko lebih tinggi, dan memperingatkan pola permintaan yang tidak normal.
Kode sandi sekali pakai umumnya tidak terlalu rentan terhadap pengeboman yang cepat karena penyerang tidak dapat mengirim spam persetujuan. Namun, metode OTP masih bisa menjadi sasaran melalui phishing atau intersepsi, tergantung pada metode pengirimannya. Banyak organisasi menggunakan OTP dan pengautentikasi yang tahan phishing sebagai opsi peningkatan ketika risiko meningkat.
Ya, itu adalah langkah selanjutnya yang umum. Setelah mendapatkan akses, penyerang mungkin mencoba mendaftarkan autentikator baru untuk mempertahankan persistensi. Pertahanan termasuk mengamankan alur kerja pendaftaran, membutuhkan jaminan yang lebih tinggi untuk perubahan perangkat, dan memberi tahu pengguna ketika autentikator ditambahkan atau dihapus.
