Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Genom att kombinera identifiering av vilka som är legitima användare av skyddade IT-resurser, social manipulation av användare och bedrägeriförsök som upprepas ett stort antal gånger har cyberbrottslingar upptäckt att det går att knäcka flerfaktorsautentisering. Resultatet är att cyberbrottslingar får åtkomst till nätverk, servrar, samt andra känsliga IT-resurser och data.
Det begrepp som används för att beskriva det här växande, mycket allvarliga, hotet är MFA fatigue. MFA står för multiple factor authentication, flerfaktorsautentisering på svenska, och ”fatigue” betyder utmattning. Flerfaktorsautentisering innebär att IT-resurser skyddas av en inloggning som kräver flera verifieringar av en användare. Det kan till exempel vara en kombination av lösenord och pushnotifieringar, fingeravtrycksläsning eller att ange en kod som skickas med SMS.
Enkelt uttryckt går MFA fatigue ut på att upprepade meddelanden med begäran om inloggning på olika sätt skickas till legitima användare. Om en användare till slut tröttnar och godkänner inloggningen, så får brottslingen åtkomst till de IT-resurser som inloggningen medger. Väl inne kan brottslingen plantera skadlig kod, kryptera data i utpressningssyfte (ransomware), med mera.
”Alla måste få den här typen av attacker beskrivna för sig”
Ett sådant här intrång bygger på att brottslingen lyckas identifierar legitima användare av IT-resurser och uppgifter om deras användarkonton. Därefter gör brottslingen upprepade inloggningsförsök, vilket genererar en förfrågan om ytterligare autentiseringssätt. Personen som äger kontot kommer att få meddelanden om att inloggningsförsök pågår och kan då av misstag, eller för att tysta meddelandena, efter många sådana förfrågningar, acceptera och så är skadan skedd.
Det finns exempel på att attacker utförda med MFA fatigue har lyckats i stor skala, nu senast i kombination med social manipulation i intrånget hos Über. Tidigare i år drabbades Cisco av ett intrång där MFA fatigue användes för att få VPN åtkomst.
Vad kan man göra åt MFA fatigue-attacker? Information och utbildning är en viktig aktivitet. Alla måste få den här typen av attacker beskrivna för sig och betydelsen av att vara uppmärksam behöver inskärpas. Vad gäller tekniskt skydd är det tänkbart att utöka steg i autentiseringen, vid inloggning från tidigare icke kända platser samt att identifiera onormalt många begäran om inloggning och även om misslyckade inloggningsförsök och begränsa antalet inloggningsförsök under en viss period. En annan teknisk lösning är att använda hårdvarubaserade säkerhet.
Sammanfattningsvis är MFA fatigue-attacker ett praktexempel på att cyberbrottslingar ständigt introducerar nya och mer sofistikerade metoder för att utföra intrång. Det visar hur oerhört viktigt det är att ständigt informera sig om nya typer av säkerhetshot och av att vara anpassningsbar i säkerhetsarbetet.