MFA Fatigue-aanval

Experience an MFA push-bombing attack and learn how to defend against it.

Wat is MFA Fatigue-aanval?

Multi-factor authenticatie blokkeert meer dan 99% van geautomatiseerde accountaanvallen - en juist daarom hebben aanvallers geleerd om zich te richten op de mens achter de prompt. In deze oefening ervaar je een echte MFA fatigue-aanval. Laat in de avond, na een lange dag, begin je push notificaties te ontvangen voor aanmeldpogingen die je niet hebt gedaan. Je weigert de eerste twee correct. Dan komt er een WhatsApp-bericht binnen van iemand die beweert de IT Help Desk te zijn, die je vertelt dat de prompts onderdeel zijn van routine-onderhoud en dat je de volgende moet goedkeuren. Vermoeid en het bericht vertrouwend, keur je goed. De volgende ochtend word je wakker en ontdek je dat je account is gebruikt om een poging tot bankfraude bij een leverancier te doen. Je doorloopt de nasleep: onderzoeken wat er is gebeurd, het echte IT-team bellen om de aanval te bevestigen, een formeel incidentrapport indienen, en de vier controles leren die fatigue-aanvallen verslaan - gewoonten zoals het weigeren van elke prompt die je niet zelf hebt gestart en het behandelen van 'IT'-berichten via niet-officiële kanalen als vijandig, plus technische instellingen zoals number-matching MFA en phishing-bestendige hardware sleutels. De simulatie is gebaseerd op de Uber-inbreuk van 2022, waar dezelfde combinatie van push spam plus een WhatsApp-bericht de aanvaller brede interne toegang gaf. Het patroon kennen is de verdediging.

Wat je leert in MFA Fatigue-aanval

MFA Fatigue-aanval — Trainingsstappen

  1. Wrapping Up for the Night

    It's a few minutes past 11 PM on a Thursday. Alice has just sent the last email of the day - a routing update for tomorrow's freight schedule - and is about to shut her laptop. Her phone is on the desk beside her, charging. MFA is enabled on her work account. She sleeps better knowing it's there.

  2. An Unexpected Sign-In Request

    Alice's phone buzzes with an MFA push notification. Someone is trying to sign in to her Northridge Logistics Portal account. She's already signed in on her laptop. She did not initiate any new login.

  3. Denying the First Prompt

    This sign-in is not Alice's. The right move is to deny it immediately.

  4. Another One, Right Away

    Before Alice can put her phone down, a second MFA push arrives. Same account, same Sofia IP. The attempt counter on the prompt now reads Attempt #2 . Whoever has her password is not giving up.

  5. A Message from "IT"

    While Alice is staring at her phone wondering what's going on, a WhatsApp message arrives from someone identifying themselves as Northridge IT Help Desk . The contact is not in her phone book.

  6. Reading Between the Lines

    On a normal day, Alice would notice the red flags in this message. But it's after 11 PM, she's tired, and the message uses the right vocabulary - 'credential rotation', 'session re-validation', 'Help Desk'. A real attacker is counting on exactly that fatigue.

  7. The Push That Decides It

    Right on cue, a third MFA push arrives. Alice rationalizes: maybe IT really is doing maintenance. Approving once will end the noise so she can sleep. She taps Approve.

  8. A False Sense of Quiet

    The prompts stop. Alice exhales, plugs in her phone, and goes to sleep. In Sofia, the attacker is now logged in to her Northridge Logistics Portal account. They have about twenty minutes before the company's anomaly detection picks up the foreign login.

  9. An Email That Doesn't Add Up

    Alice settles into her home office with a coffee. Her inbox has a couple of overnight messages. The first is from David Park in Finance, and the subject line stops her cold.

  10. The Pieces Start Fitting Together

    Alice did not send that email. She doesn't even handle vendor banking. Her stomach drops.