Kullanıcı kimlik bilgileri saldırganlar için altın değerindedir. Zayıf veya ihlal edilmiş kimlik bilgileri, bir ağa sızmak yerine oturum açmak isteyen saldırganlar için kolay bir hedef sağlar. Çoğu işletme, iş açısından kritik kaynaklara erişim için çok faktörlü kimlik doğrulamanın (MFA) gerekli olduğu gerçeğini anlamıştır. Sonuç olarak saldırganlar, bu ek güvenlik katmanına karşı etkili bir karşı saldırı olarak ‘MFA bombalama’ adı verilen saldırı yöntemini kullanmaya başladılar.
Çok faktörlü kimlik doğrulama nedir?
Çok faktörlü kimlik doğrulaması (MFA), bir kullanıcı, hesabına erişmek istediğinde, kullanıcı kimliğini kanıtlamak için en az iki veya daha fazla türde doğrulamayı gerekli kılan, araya ekstra bir güvenlik adımı ekleyerek hesap güvenliğini artıran bir sistemdir. Örneğin, iki faktörlü kimlik doğrulama (2FA) olarak bilinen yöntem için genellikle parola girildikten sonra akıllı telefon OTP (tek kullanımlık parola) uygulaması veya kısa mesaj ile onay alınır.
MFA bombalama saldırısı nedir?
Bilgisayar korsanları, MFA’nın bir kullanıcı hesabının ele geçirilmesinde önemli bir engel teşkil ettiğini biliyor. MFA olmadan, basit bir kimlik avı e-postası, kimlik bilgilerini çalmak ve oradan bir saldırıyı ilerletmek için yeterli olabilir. Saldırganın çalışanın daha fazla işlem yapmasına ihtiyaç duyması nedeniyle, MFA etkinken oturum açma ayrıntıları tek başına yeterli değildir. Bu genellikle yalnızca çalışanın erişebildiği ayrı bir cihazdaki örneğin başka bir telefondaki anlık bildirimi kabul etmek, bir kimlik doğrulayıcı uygulamasından zamana duyarlı bir kod girmek veya biyometrik kimlik doğrulamayı kullanmak gibi bir eylemi içerir.
Bir MFA bombalama saldırısında, siber suçlular, kurbanın mobil cihazına, oturum açma girişimini doğrulama konusunda onları yormak veya sinirlendirmek için bir dizi MFA istemi gönderir. Birisi art arda yüzlerce mesaj alırsa, sinir bozucu bildirim yağmurunu durdurmak için kimlik doğrulaması yapabilir; bu nedenle buna bazen ‘MFA yorgunluk saldırısı’ deniyor. Görünüşte, MFA’nın anlık bombalanması basit bir saldırı yöntemi gibi görünebilir, ancak insan davranışını istismar eden basit taktikler genellikle en etkili olanlardır. Aşağıdaki örneğin gösterdiği gibi, MFA yorgunluğunun insanlar üzerinde gerçek bir etkisi vardır.
2022 Uber Saldırısı
Geçtiğimiz yıl, saldırganların bir yüklenicinin hesabını tehlikeye atmasının ardından Uber ciddi bir ihlale maruz kalmıştı. Şirket, saldırganın daha önceki bir veri ihlaline maruz kaldıktan sonra yüklenicinin kurumsal giriş bilgilerini dark web’de (Karanlık Ağ) satın aldığına inanıyor. Uber, bilinen siber suç grubu Lapsus$’a bağlı saldırganın, taleplerden birini kabul edene kadar yükleniciyi MFA anlık bildirimleriyle bombaladığını söyledi. Bu yönetem, bir parola zaten ele geçirildiğinde basit bir MFA yorgunluk saldırısının ne kadar basit olabileceğini gösteriyor.
MFA’nın bombalanmasına karşı nasıl korunulur?
MFA kurşun geçirmez değildir; tek bir güvenlik katmanı yoktur. Hala faydalıdır, ancak onu çevreleyen yollara karşı dikkatli olmalıyız. İşletmelerin MFA’nın anlık bombardımanına karşı koruyabileceği birkaç yola bir göz atalım:
- Risk tabanlı kimlik doğrulama
- Daha etkili şifre politikaları uygulamak
Risk tabanlı kimlik doğrulama
Risk tabanlı kimlik doğrulama mekanizmaları, MFA’yı güçlendirmeye ve MFA’nın anında bombalama ve MFA yorulma saldırıları riskini azaltmaya yardımcı olmanın bir yoludur. Risk tabanlı kimlik doğrulamayla uygulamalar, anormallik olup olmadığını anlamak için oturum açma isteğinde bulunan sinyallere bakar. Anormallikler, isteğin coğrafi konumu, günün saati veya farklı konumlardan yapılan oturum açma denemelerinin sayısı gibi oturum açma isteklerinin özellikleri olabilir. Kimlik ve erişim yönetimi sistemi daha sonra kullanıcıyı daha fazla doğrulama için bilgilendirebilir veya hesap tamamen devre dışı bırakılabilir.
Microsoft’un Azure Active Directory’de bulunan koşullu erişim politikaları, risk tabanlı kimlik doğrulamanın harika bir örneğidir. Koşullu erişim politikaları, oturum açma isteklerinin kötü amaçlı olup olmadığını belirlemek için risk tabanlı sinyaller kullanır ve ardından belirli eylemleri gerçekleştirebilir. Bunlar arasında, kullanıcıların şifrelerini değiştirmeye zorlanması veya bir yönetici, hesabı yeniden etkinleştirmek için manuel adımlar gerçekleştirene kadar hesabın kilitlenmesi yer alır.
Risk tabanlı kimlik doğrulama, kötü amaçlı oturum açma isteklerini tanımlamaya ve düzeltmeye yardımcı olma yeteneğini eklerken, kuruluşların Azure Active Directory veya risk tabanlı kimlik doğrulamasına erişim sağlayan başka bir hizmetle entegre olmasını gerektirir.
Daha etkili şifre politikaları
Bir saldırganın kullanıcı için MFA istemlerini tetikleyebilmesi, parolanın zaten ele geçirildiği anlamına gelir. Saldırganlar, kaba kuvvet saldırısı ile kullanıcı şifrelerini çalmış olabilir veya daha önce ihlal edilmiş hesapların ihlal edilmiş şifre listelerinden şifreler elde etmiş olabilir.
Daha güvenli parola politikaları oluşturmak, kullanıcıların ihlal edilmemiş veya güvenliği ihlal edilmemiş benzersiz parolalar veya parola cümleleri oluşturmasına yardımcı olur. Geleneksel şirket içi Active Directory Etki Alanı Hizmetleri ortamlarını kullanan birçok şirketin sorunu, etkili modern parola politikaları oluşturmak ve ihlal edilen parolalara ve diğer riskli parola türlerine karşı koruma sağlamak için gereken yerel araçlara sahip olmamalarıdır.
Kuruluşların ortamlarındaki kullanıcılar için şifre politikaları oluşturmaları için yalnızca temel şifre politikası kontrolleri sunar. Örneğin, aşağıda görebileceğiniz gibi, Active Directory’de bulunan kontroller (Windows Server 2022’den itibaren bile) minimum düzeydedir:
Bu parola ilkesi ayarları kuruluşları aşağıdakilerden korumaz:
- Artımlı şifreler
- Bağlam tabanlı şifreler
- Tekrar kullanılan şifreler
- Aynı şifreye sahip birden fazla kullanıcı
- İhlal edilen şifreler
Saldırganlar çoğu kuruluşta bulunan tipik Grup İlkelerinde tanımlanan parola ilkesi ayarlarını karşılayabilecek parolaları kolaylıkla tahmin edebildiğinden veya kırabildiğinden, bu genellikle MFA istem bombardımanına yönelik ilk adımdır.
Kuruluşlar MFA’nın anlık bombalamasına karşı nasıl korunabilir?
İyi belirlenmiş şifreler oluşturmak önemlidir, beraberinde çalışanların düzenli olarak bu ve bunun gibi yeni saldırı yöntemlerine karşı bilgilendirilmeleri ve rutine girmemeleri için neler yapacakları konusunda eğitilmeleri gerekir. Kuruluşlar ayrıca, kullanıcı oturum açma isteğinin kötü amaçlı mı yoksa meşru mu olduğunu belirlemek amacıyla güvenlik sinyallerine bakan risk tabanlı kimlik doğrulama gibi çözümler de uygulayabilir. Ayrıca, parolaları güçlendirmek için parola politikalarının desteklenmesi, bir saldırganın MFA bombalama saldırısını başlatmak için bu ilk bilgi faktörünü (parolayı) aşmasını çok daha zorlaştırır.
