許多工程師或系統管理員在部署了多因素驗證 MFA(Multi-factor Authentication,除了密碼外還需要第二項驗證,如手機簡訊或 App 確認)後,會認為帳號安全已經達到了足夠的高度。然而,攻擊者發現了一個漏洞:他們不需要偷走你的第二因素,只需要讓使用者主動把門打開。這種利用心理壓力與疲勞感的攻擊手法,被稱為 MFA Prompt Bombing,也就是 MFA 提示轟炸。
什麼是 MFA Prompt Bombing
這是一種結合了技術漏洞與社交工程的攻擊方式。其核心目標是讓使用者在面對連續不斷的驗證請求時,因為感到煩躁、困惑,或是被誤導而按下核准。
要完成這次攻擊,駭客需要準備三個條件。首先是有效的帳號密碼,這通常來自於暗網上的密碼外洩資料庫。其次是一個使用推送式 MFA(Push-based MFA,指使用者手機收到通知,點擊核准即可登入的機制)的登入入口,例如 VPN 或公司內部系統。最後則是受害者的心理防線。
攻擊過程通常是駭客在取得密碼後,反覆觸發 MFA 推送通知。使用者手機會不斷跳出核准請求,這會造成兩種結果。第一種是疲勞感,使用者以為系統出錯,為了讓通知消失而隨手點擊核准;第二種則是配合社交工程,駭客可能會同步撥打電話偽裝成 IT 部門人員,告知使用者系統正在維護,請協助點擊核准以完成驗證。
從 Cisco 的真實案例可以看出這種攻擊的威力。當時攻擊者先透過外洩的 Google 帳號取得員工的 VPN 密碼,隨後發動 MFA 提示轟炸。在多次嘗試失敗後,駭客利用 Vishing(Voice Phishing,語音釣魚)偽裝成技術支援人員,成功誘導員工按下核准。一旦進入系統,駭客便能迅速擴大權限,甚至將自己的設備註冊為 MFA 裝置以維持長期潛伏,最終導致大量數據外洩。
為什麼推送式 MFA 會失效
推送式 MFA 的最大問題在於缺乏上下文資訊。當使用者手機收到核准請求時,螢幕上通常只顯示核准或拒絕,而沒有告知這次登入嘗試來自哪個國家、使用什麼設備、或是具體在哪個時間點觸發。
在缺乏資訊的情況下,連續的推送通知會讓使用者產生認知偏差,認為這是系統故障而非攻擊。當這種心理狀態遇上精心設計的社交工程電話,使用者即便不是粗心,也很容易在看似例行公事的指引下落入陷阱。
如何有效防禦 MFA 疲勞攻擊
要解決這個問題,不能單靠教育使用者,必須從技術層面提升驗證的強度。
第一,將推送式 MFA 升級為抗釣魚驗證。最推薦的是使用 FIDO2 標準的硬體金鑰(如 YubiKey)或實施數字匹配(Number Matching)。數字匹配要求使用者必須在手機 App 中輸入登入畫面顯示的兩位數數字才能通過,這強制使用者必須在登入設備前才能完成驗證,徹底杜絕了在遠端隨手點擊核准的可能性。
第二,從源頭封鎖外洩密碼。Prompt Bombing 的前提是駭客已經拿到了正確的密碼。企業應定期將 Active Directory(AD,微軟的目錄服務,用於管理使用者帳號與權限)中的密碼雜湊值與已知的外洩資料庫進行比對。一旦發現員工使用了已外洩的密碼,應立即強制要求更改,從而切斷攻擊的第一步。
第三,導入條件式存取策略(Conditional Access)。不要只依賴 MFA,應加入風險信號判斷。例如,如果登入請求來自不尋常的地理位置、未經授權的設備,或是異常的時間點,系統應直接攔截請求,甚至要求更高等級的驗證,而不是直接將請求推送到使用者的手機上。
總結
MFA 依然是現代安全架構中不可或缺的一環,但我們必須意識到並非所有 MFA 形式都同樣安全。推送式通知雖然方便,但其低門檻也成了攻擊者的突破口。透過升級為抗釣魚的驗證機制、嚴格管理密碼健康度以及強化存取條件,才能真正將 MFA 變成一道堅固的防線。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。