Attacco MFA Fatigue

Experience an MFA push-bombing attack and learn how to defend against it.

Cos’è Attacco MFA Fatigue?

L'autenticazione multi-fattore blocca oltre il 99% degli attacchi automatizzati agli account - ed è esattamente per questo che gli aggressori hanno imparato a prendere di mira la persona davanti al prompt. In questo esercizio, sperimenterai un attacco MFA fatigue reale. A tarda notte, dopo una lunga giornata, inizi a ricevere notifiche push per tentativi di accesso che non hai effettuato. Neghi correttamente le prime due. Poi arriva un messaggio WhatsApp da qualcuno che afferma di essere l'IT Help Desk, dicendoti che i prompt fanno parte della manutenzione di routine e che dovresti approvare il prossimo. Stanco e fidandoti del messaggio, approvi. La mattina dopo ti svegli per scoprire che il tuo account è stato utilizzato per tentare una frode tramite bonifico bancario verso un fornitore. Affronterai le conseguenze: indagando su cosa è successo, chiamando il vero team IT per confermare l'attacco, presentando un rapporto formale sull'incidente e imparando i quattro controlli che sconfiggono gli attacchi fatigue - abitudini come negare ogni prompt che non hai avviato e trattare i messaggi 'IT' fuori canale come ostili, oltre alle impostazioni tecniche come MFA con number matching e chiavi hardware resistenti al phishing. La simulazione è modellata sulla violazione di Uber del 2022, dove la stessa combinazione di spam push e un messaggio WhatsApp ha dato all'aggressore un ampio accesso interno. Conoscere il pattern è la difesa.

Cosa imparerai in Attacco MFA Fatigue

Attacco MFA Fatigue — Fasi della formazione

  1. Wrapping Up for the Night

    It's a few minutes past 11 PM on a Thursday. Alice has just sent the last email of the day - a routing update for tomorrow's freight schedule - and is about to shut her laptop. Her phone is on the desk beside her, charging. MFA is enabled on her work account. She sleeps better knowing it's there.

  2. An Unexpected Sign-In Request

    Alice's phone buzzes with an MFA push notification. Someone is trying to sign in to her Northridge Logistics Portal account. She's already signed in on her laptop. She did not initiate any new login.

  3. Denying the First Prompt

    This sign-in is not Alice's. The right move is to deny it immediately.

  4. Another One, Right Away

    Before Alice can put her phone down, a second MFA push arrives. Same account, same Sofia IP. The attempt counter on the prompt now reads Attempt #2 . Whoever has her password is not giving up.

  5. A Message from "IT"

    While Alice is staring at her phone wondering what's going on, a WhatsApp message arrives from someone identifying themselves as Northridge IT Help Desk . The contact is not in her phone book.

  6. Reading Between the Lines

    On a normal day, Alice would notice the red flags in this message. But it's after 11 PM, she's tired, and the message uses the right vocabulary - 'credential rotation', 'session re-validation', 'Help Desk'. A real attacker is counting on exactly that fatigue.

  7. The Push That Decides It

    Right on cue, a third MFA push arrives. Alice rationalizes: maybe IT really is doing maintenance. Approving once will end the noise so she can sleep. She taps Approve.

  8. A False Sense of Quiet

    The prompts stop. Alice exhales, plugs in her phone, and goes to sleep. In Sofia, the attacker is now logged in to her Northridge Logistics Portal account. They have about twenty minutes before the company's anomaly detection picks up the foreign login.

  9. An Email That Doesn't Add Up

    Alice settles into her home office with a coffee. Her inbox has a couple of overnight messages. The first is from David Park in Finance, and the subject line stops her cold.

  10. The Pieces Start Fitting Together

    Alice did not send that email. She doesn't even handle vendor banking. Her stomach drops.