Многофакторная аутентификация (MFA) считается надежным барьером, но злоумышленники нашли брешь: бомбардировка запросами. Этот метод заключается в отправке десятков push-уведомлений на мобильный телефон пользователя до тех пор, пока он, из-за раздражения или ошибки, не примет одно из них. На foro3d.com напоминаем, что одобрение неожиданного запроса — это открытие двери злоумышленнику. Постоянное обучение кибербезопасности — единственная реальная защита от такого рода усталости.
Как работает атака усталости MFA 🔐
Атака, известная как MFA fatigue или bombing, эксплуатирует человеческую психологию больше, чем технологию. Злоумышленник, получив учетные данные для входа, отправляет повторные запросы MFA из той же сессии. Пользователь, перегруженный постоянными предупреждениями, может принять один из них, чтобы заглушить шум. Такие системы, как Okta или Microsoft, задокументировали случаи, когда для того, чтобы сотрудник сдался, было достаточно 15 минут бомбардировки. Техническое решение заключается в политиках блокировки после неудачных попыток и уведомлениях с географическим контекстом.
Клик, который спасает или губит тебя 🎯
Представь себе это: ты уже 20 минут пытаешься войти в свою учетную запись, и вдруг появляется окно с запросом подтверждения. Ты думаешь: наконец-то сработало. И кликаешь. Поздравляю, ты только что подарил свой доступ незнакомцу, который празднует это в своем подвале. MFA-бомбардировка — это цифровая версия того надоедливого друга, который звонит 50 раз, пока ты не ответишь. Разница в том, что здесь, если ты уступишь, твоя учетная запись окажется в руках того, кто не хочет встретиться за чашкой кофе.