What is an MFA fatigue attack?

An MFA fatigue attack (also called push bombing or MFA bombing) is when an attacker who has stolen a user's password floods their device with multi-factor authentication push notifications. The attacker hopes the user will eventually approve one - either accidentally, out of frustration, or because a paired social engineering message convinces them the prompts are legitimate. The attack does not exploit a flaw in MFA itself; it exploits human attention. The 2022 Uber breach is the most famous example, where a contractor was bombarded with prompts and then messaged on WhatsApp by someone claiming to be Uber IT, ultimately approving a sign-in that gave the attacker broad internal access.

How can I tell a real IT message from an imposter?

Real IT communicates through official channels - your corporate email, the help desk phone number, the ticketing portal, or in-person at the help desk. Real IT does not message you on WhatsApp, Telegram, your personal phone, or via social media DMs. Real IT does not ask you to approve an MFA prompt to fix something on their end, run a credential rotation, or clear a session queue. If a message claiming to be from IT reaches you outside the official channels - especially late at night, with urgency attached - treat it as hostile and verify by calling the help desk number you already have.

MFA-vermoeidheidsaanval

Experience an MFA push-bombing attack and learn how to defend against it.

Wat is MFA-vermoeidheidsaanval?

Multi-factor authenticatie blokkeert meer dan 99% van de geautomatiseerde accountaanvallen - en dat is precies de reden waarom aanvallers hebben geleerd zich op de mens vóór de prompt te richten. In deze oefening ervaar je een echte MFA-vermoeidheidsaanval. 's Avonds laat, na een lange dag, ontvang je pushmeldingen voor inlogpogingen die je niet hebt gedaan. Je ontkent terecht de eerste twee. Dan komt er een WhatsApp-bericht binnen van iemand die beweert de IT-helpdesk te zijn, waarin hij u vertelt dat de aanwijzingen deel uitmaken van routineonderhoud en dat u de volgende moet goedkeuren. Moe en vertrouwend op de boodschap, keurt u het goed. De volgende ochtend wordt u wakker en ontdekt u dat uw account is gebruikt voor een poging tot fraude met bankoverboekingen. Je doorloopt de nasleep: onderzoeken wat er is gebeurd, het echte IT-team bellen om de aanval te bevestigen, een formeel incidentrapport indienen en de vier controles leren die vermoeidheidsaanvallen verslaan - gewoonten zoals het ontkennen van elke prompt die je niet hebt geïnitieerd en off-channel 'IT' -berichten als vijandig behandelen, plus technische instellingen zoals nummer-matching MFA en phishing-bestendige hardwaresleutels. De simulatie is gemodelleerd naar de Uber-inbreuk uit 2022, waarbij dezelfde combinatie van push-spam plus een WhatsApp-bericht de aanvaller brede interne toegang gaf. Het kennen van het patroon is de verdediging.

Wat je leert in MFA-vermoeidheidsaanval

Herken een MFA-vermoeidheidsaanval (pushbombing) vanaf de eerste onverwachte prompt, voordat de social engineering hook arriveert
Pas de regel toe "ontken elke prompt die u niet hebt geïnitieerd, ongeacht hoeveel er binnenkomen", zelfs onder vermoeidheid en tijdsdruk
Identificeer de imitatie van IT buiten het kanaal (WhatsApp, Telegram, persoonlijke telefoon) als een vijandig signaal, ongeacht hoe legitiem de bewoording klinkt
Reageer op een succesvol accountcompromis met de juiste eerste acties: bel echte IT, dien een grondig incidentrapport in en breng het team op de hoogte van het patroon
Kies sterkere MFA-controles - nummermatching en phishing-bestendige FIDO2-/hardwaresleutels - die vermoeidheidsaanvallen op protocolniveau verslaan

MFA-vermoeidheidsaanval — Trainingsstappen

Inpakken voor de nacht

Het is een paar minuten over 23.00 uur op een donderdag. Alice heeft zojuist de laatste e-mail van de dag verzonden - een route-update voor het vrachtschema van morgen - en staat op het punt haar laptop dicht te doen. Haar telefoon ligt naast haar op het bureau en wordt opgeladen. MFA is ingeschakeld op haar werkaccount. Ze slaapt beter als ze weet dat het er is.
Een onverwacht aanmeldingsverzoek

De telefoon van Alice zoemt met een MFA-pushmelding. Iemand probeert in te loggen op haar Northridge Logistics Portal-account. Ze is al ingelogd op haar laptop. Ze heeft geen nieuwe login gestart.
Het ontkennen van de eerste prompt

Deze login is niet die van Alice. De juiste zet is om het onmiddellijk te ontkennen.
Nog eentje, meteen

Voordat Alice haar telefoon kan neerleggen, komt er een tweede MFA-push binnen. Hetzelfde account, hetzelfde Sofia-IP. De pogingsteller op de prompt geeft nu Poging nr. 2 aan. Degene die haar wachtwoord heeft, geeft niet op.
Een bericht van "IT"

Terwijl Alice naar haar telefoon staart en zich afvraagt wat er aan de hand is, komt er een WhatsApp-bericht binnen van iemand die zichzelf identificeert als Northridge IT Help Desk . Het contact staat niet in haar telefoonboek.
Tussen de regels door lezen

Op een normale dag zou Alice de rode vlaggen in dit bericht opmerken. Maar het is na 23.00 uur, ze is moe en het bericht gebruikt de juiste woordenschat - 'referentieroulatie', 'hervalidatie van de sessie', 'Helpdesk'. Een echte aanvaller rekent op precies die vermoeidheid.
De impuls die het beslist

Precies op het juiste moment arriveert er een derde MFA-push. Alice rationaliseert: misschien doet IT echt onderhoud. Eén keer goedkeuren zal het geluid beëindigen, zodat ze kan slapen. Ze tikt op Goedkeuren.
Een vals gevoel van stilte

De aanwijzingen stoppen. Alice ademt uit, sluit haar telefoon aan en gaat slapen. In Sofia is de aanvaller nu ingelogd op haar Northridge Logistics Portal-account. Ze hebben ongeveer twintig minuten voordat de anomaliedetectie van het bedrijf de buitenlandse login oppikt.
Een e-mail die niet klopt

Alice nestelt zich in haar thuiskantoor met een kopje koffie. Haar inbox bevat een paar nachtelijke berichten. De eerste is van David Park van Financiën, en de onderwerpregel houdt haar koud.
De stukken beginnen in elkaar te passen

Alice heeft die e-mail niet verzonden. Ze regelt niet eens de bankzaken van leveranciers. Haar maag zakt.

Wat is MFA-vermoeidheidsaanval?

Wat je leert in MFA-vermoeidheidsaanval

MFA-vermoeidheidsaanval — Trainingsstappen

Inpakken voor de nacht

Een onverwacht aanmeldingsverzoek

Het ontkennen van de eerste prompt

Nog eentje, meteen

Een bericht van "IT"

Tussen de regels door lezen

De impuls die het beslist

Een vals gevoel van stilte

Een e-mail die niet klopt

De stukken beginnen in elkaar te passen