A autenticação multifator (MFA) é considerada uma barreira sólida, mas os atacantes encontraram uma brecha: o bombardeio de solicitações. Esse método consiste em enviar dezenas de notificações push para o celular do usuário até que, por frustração ou erro, ele aceite uma. No foro3d.com lembramos que aprovar uma solicitação inesperada é abrir a porta para o atacante. A formação contínua em cibersegurança é a única defesa real contra esse tipo de fadiga.
Como funciona o ataque por fadiga MFA 🔐
O ataque, conhecido como MFA fatigue ou bombing, explora a psicologia humana mais do que a tecnologia. O atacante, após obter credenciais de acesso, dispara solicitações MFA repetidas a partir da mesma sessão. O usuário, sobrecarregado por alertas constantes, pode aceitar uma para silenciar o ruído. Sistemas como Okta ou Microsoft documentaram casos onde bastaram 15 minutos de bombardeio para que um funcionário cedesse. A solução técnica passa por políticas de bloqueio após tentativas falhas e notificações com contexto geográfico.
O clique que te salva ou te afunda 🎯
Imagine isto: você está há 20 minutos tentando entrar na sua conta e, de repente, aparece uma janela pedindo confirmação. Você pensa: finalmente funcionou. E clica. Parabéns, você acabou de entregar seu acesso a um desconhecido que comemora do seu porão. O bombardeio MFA é a versão digital daquele amigo chato que liga 50 vezes até você atender. A diferença é que aqui, se você ceder, sua conta acaba nas mãos de alguém que não quer marcar um café.