What is an MFA fatigue attack?

An MFA fatigue attack (also called push bombing or MFA bombing) is when an attacker who has stolen a user's password floods their device with multi-factor authentication push notifications. The attacker hopes the user will eventually approve one - either accidentally, out of frustration, or because a paired social engineering message convinces them the prompts are legitimate. The attack does not exploit a flaw in MFA itself; it exploits human attention. The 2022 Uber breach is the most famous example, where a contractor was bombarded with prompts and then messaged on WhatsApp by someone claiming to be Uber IT, ultimately approving a sign-in that gave the attacker broad internal access.

How can I tell a real IT message from an imposter?

Real IT communicates through official channels - your corporate email, the help desk phone number, the ticketing portal, or in-person at the help desk. Real IT does not message you on WhatsApp, Telegram, your personal phone, or via social media DMs. Real IT does not ask you to approve an MFA prompt to fix something on their end, run a credential rotation, or clear a session queue. If a message claiming to be from IT reaches you outside the official channels - especially late at night, with urgency attached - treat it as hostile and verify by calling the help desk number you already have.

Attacco di fatica MFA

Experience an MFA push-bombing attack and learn how to defend against it.

Cos’è Attacco di fatica MFA?

L'autenticazione a più fattori blocca oltre il 99% degli attacchi automatizzati agli account, motivo per cui gli aggressori hanno imparato a prendere di mira l'essere umano di fronte al prompt. In questo esercizio sperimenterai un attacco di fatica MFA nel mondo reale. A tarda notte, dopo una lunga giornata, inizi a ricevere notifiche push per i tentativi di accesso che non hai effettuato. Neghi correttamente i primi due. Poi arriva un messaggio WhatsApp da qualcuno che dichiara di essere l'Help Desk IT, che ti dice che le richieste fanno parte della manutenzione ordinaria e che dovresti approvare quella successiva. Stanco e fiducioso nel messaggio, approvi. La mattina dopo ti svegli e scopri che il tuo account è stato utilizzato per tentare una frode tramite bonifico bancario da parte del fornitore. Si attraversano le conseguenze: indagando su cosa è successo, chiamando il vero team IT per confermare l'attacco, compilando un rapporto formale sull'incidente e apprendendo i quattro controlli che sconfiggono gli attacchi di fatica - abitudini come negare ogni richiesta che non hai avviato e trattare i messaggi 'IT' fuori canale come ostili, oltre a impostazioni tecniche come MFA con corrispondenza numerica e chiavi hardware resistenti al phishing. La simulazione è modellata sulla violazione di Uber del 2022, in cui la stessa combinazione di push spam più un messaggio WhatsApp ha concesso all’aggressore un ampio accesso interno. Conoscere lo schema è la difesa.

Cosa imparerai in Attacco di fatica MFA

Riconoscere un attacco di fatica MFA (push bombing) dal primo suggerimento inaspettato, prima che arrivi il gancio di ingegneria sociale
Applica la regola "nega ogni richiesta che non hai avviato, non importa quanti ne arrivano" anche sotto la fatica e la pressione del tempo
Identificare l'imitazione dell'IT fuori canale (WhatsApp, Telegram, telefono personale) come segnale ostile, indipendentemente da quanto sembri legittima la formulazione
Rispondi a una compromissione di un account riuscita con le prime azioni corrette: chiama l'IT reale, invia un rapporto approfondito sull'incidente e informa il team del modello
Scegli controlli MFA più efficaci (corrispondenza dei numeri e chiavi hardware FIDO2/phishing resistenti al phishing) che sconfiggono gli attacchi di fatica a livello di protocollo

Attacco di fatica MFA — Fasi della formazione

Concludendo per la notte

Sono le 23:00 passate da pochi minuti di giovedì. Alice ha appena inviato l'ultima e-mail della giornata - un aggiornamento del percorso per il programma delle merci di domani - e sta per spegnere il portatile. Il suo telefono è sulla scrivania accanto a lei, in carica. L'AMF è abilitata sul suo account di lavoro. Dorme meglio sapendo che è lì.
Una richiesta di accesso imprevista

Il telefono di Alice vibra con una notifica push MFA. Qualcuno sta tentando di accedere al suo account del portale logistico Northridge. Ha già effettuato l'accesso sul suo portatile. Non ha avviato alcun nuovo accesso.
Negare il primo suggerimento

Questo accesso non è quello di Alice. La mossa giusta è negarlo subito.
Un altro, subito

Prima che Alice possa mettere giù il telefono, arriva un secondo push dell'MFA. Stesso account, stesso IP di Sofia. Il contatore dei tentativi sul prompt ora riporta Tentativo n. 2 . Chiunque abbia la sua password non si arrende.
Un messaggio da "IT"

Mentre Alice fissa il telefono chiedendosi cosa sta succedendo, arriva un messaggio WhatsApp da qualcuno che si identifica come Northridge IT Help Desk . Il contatto non è nella sua rubrica.
Leggere tra le righe

In una giornata normale, Alice noterebbe i segnali d'allarme in questo messaggio. Ma sono passate le 23, è stanca e il messaggio utilizza il vocabolario giusto: 'rotazione delle credenziali', 'riconvalida della sessione', 'Help Desk'. Un vero attaccante conta esattamente su quella fatica.
La spinta che lo decide

Proprio al momento giusto, arriva una terza spinta dell’AMF. Alice razionalizza: forse l'IT sta davvero facendo manutenzione. Approvare una volta metterà fine al rumore così potrà dormire. Tocca Approva.
Un falso senso di quiete

Le istruzioni si fermano. Alice espira, collega il telefono e va a dormire. A Sofia, l’aggressore ha ora effettuato l’accesso al suo account del portale logistico Northridge. Hanno circa venti minuti prima che il sistema di rilevamento anomalie dell'azienda rilevi il login straniero.
Un'e-mail che non quadra

Alice si sistema nel suo ufficio a casa con un caffè. La sua casella di posta contiene un paio di messaggi notturni. Il primo è di David Park di Finanza e l'oggetto la ferma.
I pezzi iniziano a combaciare

Alice non ha inviato quell'e-mail. Non si occupa nemmeno dei servizi bancari dei fornitori. Il suo stomaco crolla.

Cos’è Attacco di fatica MFA?

Cosa imparerai in Attacco di fatica MFA

Attacco di fatica MFA — Fasi della formazione

Concludendo per la notte

Una richiesta di accesso imprevista

Negare il primo suggerimento

Un altro, subito

Un messaggio da "IT"

Leggere tra le righe

La spinta che lo decide

Un falso senso di quiete

Un'e-mail che non quadra

I pezzi iniziano a combaciare