يُعتبر المصادقة متعددة العوامل (MFA) حاجزًا قويًا، لكن المهاجمين وجدوا ثغرة: قصف الطلبات. تعتمد هذه الطريقة على إرسال عشرات الإشعارات الفورية إلى هاتف المستخدم حتى يقبل أحدها بدافع الإحباط أو الخطأ. من منتدى foro3d.com نذكر أن الموافقة على طلب غير متوقع هي فتح الباب للمهاجم. التدريب المستمر في الأمن السيبراني هو الدفاع الحقيقي الوحيد ضد هذا النوع من الإرهاق.
كيف يعمل هجوم إرهاق MFA 🔐
الهجوم، المعروف باسم إرهاق MFA أو القصف، يستغل علم النفس البشري أكثر من التكنولوجيا. بعد حصول المهاجم على بيانات الاعتماد، يطلق طلبات MFA متكررة من نفس الجلسة. المستخدم، الذي تغمره التنبيهات المستمرة، قد يقبل أحدها لإسكات الضوضاء. أنظمة مثل Okta أو Microsoft وثقت حالات استغرق فيها 15 دقيقة فقط من القصف حتى يستسلم موظف. الحل التقني يكمن في سياسات الحظر بعد المحاولات الفاشلة والإشعارات ذات السياق الجغرافي.
النقرة التي تنقذك أو تغرقك 🎯
تخيل هذا: لقد أمضيت 20 دقيقة تحاول الدخول إلى حسابك، وفجأة تظهر نافذة تطلب التأكيد. تفكر: أخيرًا يعمل. وتنقر. مبروك، لقد أهديت للتو وصولك لشخص غريب يحتفل من قبو منزله. قصف MFA هو النسخة الرقمية لذلك الصديق المزعج الذي يتصل 50 مرة حتى ترد عليه. الفرق هو أنه هنا، إذا استسلمت، ينتهي حسابك في أيدي شخص لا يريد الخروج لتناول القهوة.