Push Bombing
Push Bombing
Alexander Antipov
«Push Bombing» или «Бомбардировка Push-уведомлениями» — это метод атаки, который может использоваться злоумышленниками для обхода многофакторной аутентификации (MFA).
Push Bombing применяется в тех случаях, когда у хакеров уже есть учётные данные жертвы, но на их пути всё ещё стоит MFA. Мошенники инициируют многократные попытки входа в аккаунт потенциальной жертвы, из-за чего на её устройство прилетает десятки уведомлений о попытке входа.
Если многофакторная аутентификация в конкретный сервис реализована простым нажатием кнопки «Да, это я», потенциальная жертва в потоке уведомлений может нажать эту кнопку случайно или специально, чтобы остановить бесконечные уведомления, что сразу же даст мошенникам необходимый доступ.
Если MFA настроена на одноразовый пароль, такой тип атаки может вынудить технически неподкованного пользователя отключить многофакторную аутентификацию, чтобы остановить поток уведомлений, но это тоже прямой путь подарить свой аккаунт злоумышленникам.
Самый простой и быстрый способ остановить Push Bombing — банально сменить пароль от аккаунта, причём на более надёжный, чем стоял ранее.
Push Bombing применяется в тех случаях, когда у хакеров уже есть учётные данные жертвы, но на их пути всё ещё стоит MFA. Мошенники инициируют многократные попытки входа в аккаунт потенциальной жертвы, из-за чего на её устройство прилетает десятки уведомлений о попытке входа.
Если многофакторная аутентификация в конкретный сервис реализована простым нажатием кнопки «Да, это я», потенциальная жертва в потоке уведомлений может нажать эту кнопку случайно или специально, чтобы остановить бесконечные уведомления, что сразу же даст мошенникам необходимый доступ.
Если MFA настроена на одноразовый пароль, такой тип атаки может вынудить технически неподкованного пользователя отключить многофакторную аутентификацию, чтобы остановить поток уведомлений, но это тоже прямой путь подарить свой аккаунт злоумышленникам.
Самый простой и быстрый способ остановить Push Bombing — банально сменить пароль от аккаунта, причём на более надёжный, чем стоял ранее.
Ваш провайдер знает о вас больше, чем ваша девушка?
ФБР охотится на хакеров Scattered Spider — составлен подробный профиль киберпреступников
Помогут ли очередные рекомендации безопасности уязвимым организациям?
Microsoft вслед за Google прокачивает своё приложение Authenticator
Инновациями не пахнет, но для укрепления безопасности вполне сойдёт.