MFA Prompt Bombing: Tại sao xác thực hai lớp của bạn vẫn chưa đủ an toàn?

Xác thực đa yếu tố (MFA) từng được coi là “chìa khóa vàng” để bảo vệ tài khoản, ngay cả khi kẻ tấn công đã nắm giữ mật khẩu. Tuy nhiên, thực tế cho thấy tội phạm mạng đã tìm ra cách vượt qua rào cản này mà không cần đánh cắp yếu tố thứ hai: chúng đánh lừa người dùng tự tay phê duyệt quyền truy cập.

MFA Prompt Bombing là gì?

Kỹ thuật này dựa trên ba yếu tố chính: thông tin đăng nhập bị rò rỉ (thường từ các vụ rò rỉ dữ liệu trên dark web), cổng đăng nhập sử dụng MFA dạng push-notification, và sự thiếu cảnh giác của người dùng.

Kẻ tấn công sẽ liên tục gửi yêu cầu xác thực đến thiết bị của nạn nhân. Mục tiêu là khiến người dùng cảm thấy phiền phức hoặc nhầm lẫn, từ đó nhấn nút “Approve” (Chấp nhận). Đôi khi, kẻ tấn công còn kết hợp với kỹ thuật vishing (gọi điện giả danh nhân viên IT) để thao túng tâm lý nạn nhân. Một khi yêu cầu được phê duyệt, kẻ tấn công sẽ đăng nhập thành công mà hệ thống bảo mật vẫn ghi nhận đó là một phiên làm việc hợp lệ.

Bài học từ vụ tấn công Cisco

Vụ tấn công vào Cisco năm 2022 là minh chứng rõ nét cho sự nguy hiểm của kỹ thuật này. Sau khi có được mật khẩu VPN từ tài khoản cá nhân của nhân viên, kẻ tấn công đã liên tục gửi thông báo MFA. Khi nạn nhân không phản hồi, chúng đã gọi điện giả danh bộ phận hỗ trợ kỹ thuật để thuyết phục nạn nhân phê duyệt yêu cầu. Kết quả là kẻ tấn công đã chiếm quyền truy cập VPN, leo thang đặc quyền và đánh cắp khoảng 2.8GB dữ liệu.

Tại sao MFA dạng Push lại dễ bị tổn thương?

Vấn đề nằm ở chỗ các thông báo push thường thiếu ngữ cảnh. Người dùng không biết yêu cầu đến từ đâu, thiết bị nào hay thời điểm nào. Khi các thông báo xuất hiện dồn dập, người dùng dễ dàng hiểu lầm rằng hệ thống đang gặp lỗi thay vì nhận diện đó là một cuộc tấn công.

3 cách phòng chống MFA Prompt Bombing

• Sử dụng phương thức MFA chống phishing: Thay vì dùng push notification truyền thống, hãy chuyển sang sử dụng khóa bảo mật phần cứng (như FIDO2, YubiKey) hoặc cơ chế number-matching (nhập mã số hiển thị trên màn hình đăng nhập vào ứng dụng xác thực). Điều này buộc người dùng phải có sự tương tác chủ động và có ngữ cảnh rõ ràng.
• Chặn mật khẩu bị lộ: Kẻ tấn công chỉ có thể thực hiện prompt bombing nếu đã có mật khẩu hợp lệ. Việc quét định kỳ Active Directory (AD) để phát hiện và yêu cầu đổi các mật khẩu đã nằm trong danh sách bị rò rỉ là bước quan trọng để triệt tiêu nguồn cơn của cuộc tấn công.
• Áp dụng chính sách truy cập có điều kiện (Conditional Access): Thiết lập các quy tắc dựa trên địa lý, trạng thái thiết bị và thời gian đăng nhập để chặn hoặc yêu cầu xác thực bổ sung trước khi gửi thông báo đến người dùng. Việc thêm các tín hiệu rủi ro (risk signals) giúp hệ thống chặn các nỗ lực đăng nhập bất thường ngay từ đầu.

MFA vẫn là một lớp bảo mật quan trọng, nhưng đã đến lúc các doanh nghiệp cần nâng cấp từ các phương thức xác thực cũ sang các tiêu chuẩn chống phishing hiện đại hơn để đối phó với các mối đe dọa ngày càng tinh vi.

Nguồn tham khảo: The Hacker News