L'autenticazione multifattore (MFA) è considerata una barriera solida, ma gli aggressori hanno trovato una crepa: il bombardamento di richieste. Questo metodo consiste nell'inviare decine di notifiche push al cellulare dell'utente finché, per frustrazione o errore, questi non ne accetta una. Da foro3d.com ricordiamo che approvare una richiesta inaspettata significa aprire la porta all'aggressore. La formazione continua in cybersecurity è l'unica difesa reale contro questo tipo di stanchezza.
Come funziona l'attacco per stanchezza MFA 🔐
L'attacco, noto come MFA fatigue o bombing, sfrutta la psicologia umana più che la tecnologia. L'aggressore, dopo aver ottenuto le credenziali di accesso, invia richieste MFA ripetute dalla stessa sessione. L'utente, sopraffatto da avvisi costanti, può accettarne una per zittire il rumore. Sistemi come Okta o Microsoft hanno documentato casi in cui sono bastati 15 minuti di bombardamento perché un dipendente cedesse. La soluzione tecnica passa attraverso politiche di blocco dopo tentativi falliti e notifiche con contesto geografico.
Il clic che ti salva o ti affonda 🎯
Immagina questo: stai cercando di accedere al tuo account da 20 minuti e, all'improvviso, appare una finestra che chiede conferma. Pensi: finalmente funziona. E clicchi. Complimenti, hai appena regalato il tuo accesso a uno sconosciuto che festeggia dal suo seminterrato. Il bombardamento MFA è la versione digitale di quell'amico insistente che chiama 50 volte finché non rispondi. La differenza è che qui, se cedi, il tuo account finisce nelle mani di qualcuno che non vuole incontrarsi per un caffè.