What is an MFA fatigue attack?

An MFA fatigue attack (also called push bombing or MFA bombing) is when an attacker who has stolen a user's password floods their device with multi-factor authentication push notifications. The attacker hopes the user will eventually approve one - either accidentally, out of frustration, or because a paired social engineering message convinces them the prompts are legitimate. The attack does not exploit a flaw in MFA itself; it exploits human attention. The 2022 Uber breach is the most famous example, where a contractor was bombarded with prompts and then messaged on WhatsApp by someone claiming to be Uber IT, ultimately approving a sign-in that gave the attacker broad internal access.

How can I tell a real IT message from an imposter?

Real IT communicates through official channels - your corporate email, the help desk phone number, the ticketing portal, or in-person at the help desk. Real IT does not message you on WhatsApp, Telegram, your personal phone, or via social media DMs. Real IT does not ask you to approve an MFA prompt to fix something on their end, run a credential rotation, or clear a session queue. If a message claiming to be from IT reaches you outside the official channels - especially late at night, with urgency attached - treat it as hostile and verify by calling the help desk number you already have.

MFA Fatigue Attack

Experience an MFA push-bombing attack and learn how to defend against it.

Що таке MFA Fatigue Attack?

Багатофакторна автентифікація блокує більше 99% автоматизованих атак на обліковий запис, тому зловмисники навчилися націлюватися на людину перед підказкою. У цій вправі ви відчуваєте реальну атаку втоми MFA. Пізно ввечері, після довгого дня, ви починаєте отримувати push-сповіщення про спроби входу, які ви не робили. Ви правильно заперечуєте перші два. Потім приходить повідомлення WhatsApp від когось, який називає себе ІТ-довідковою службою, у якому повідомляється, що підказки є частиною планового обслуговування, і вам слід схвалити наступне. Втомлений і довірливий повідомлення, ви схвалюєте. Наступного ранку ви прокидаєтеся й виявляєте, що ваш обліковий запис використали для спроби шахрайства постачальника з банківським переказом. Ви проходите через наслідки: розслідування того, що сталося, виклик справжньої ІТ-команди для підтвердження атаки, подання офіційного звіту про інцидент і вивчення чотирьох елементів керування, які подолають атаки втоми – такі звички, як відхилення кожного запиту, який ви не ініціювали, і розглядання повідомлень поза каналом «ІТ» як ворожих, а також технічні параметри, такі як відповідність номерів MFA та апаратні ключі, стійкі до фішингу. Симуляція змодельована на основі злому Uber 2022 року, коли та сама комбінація push-спаму та повідомлення WhatsApp надала зловмиснику широкий внутрішній доступ. Знання шаблону - це захист.

Що ви дізнаєтесь у MFA Fatigue Attack

Розпізнайте атаку MFA fatigue (push bombing) за першою несподіваною підказкою, перш ніж прибуде гачок соціальної інженерії
Застосовуйте правило «відмовляйте в кожному запиті, який ви не ініціювали, незалежно від того, скільки їх надійшло», навіть за умови втоми та дефіциту часу
Визнайте ненаціональне видавання себе за ІТ (WhatsApp, Telegram, особистий телефон) як ворожий сигнал незалежно від того, наскільки правомірно звучить це формулювання
Відреагуйте на успішну компрометацію облікового запису правильними першими діями - зателефонуйте до справжньої ІТ-спеціалісти, подайте докладний звіт про інцидент і повідомте команду про шаблон
Вибирайте потужніші засоби керування MFA – зіставлення чисел і стійкі до фішингу FIDO2/апаратні ключі – які перемагають атаки на втому на рівні протоколу

MFA Fatigue Attack — Кроки навчання

Закутування на ніч

Зараз кілька хвилин після 23:00 у четвер. Аліса щойно надіслала останній електронний лист цього дня — оновлення маршруту для завтрашнього розкладу вантажів — і збирається закрити свій ноутбук. Її телефон лежить на столі поруч із нею, заряджається. MFA увімкнено в її робочому обліковому записі. Їй легше спиться, знаючи, що він там.
Несподіваний запит на вхід

Телефон Аліси дзижчить із push-повідомленням МЗС. Хтось намагається ввійти в її обліковий запис Northridge Logistics Portal. Вона вже ввійшла в систему на своєму ноутбуці. Вона не ініціювала новий вхід.
Відмова від першого запиту

Цей вхід не належить Алісі. Правильний крок - негайно відмовитися від цього.
Ще один, відразу

Перш ніж Аліса встигла покласти трубку, надійшов другий сигнал МЗС. Той же обліковий запис, та сама Софія IP. Лічильник спроб у підказці тепер читає Спроба №2 . Той, хто має її пароль, не здається.
Повідомлення від "IT"

Поки Аліса дивиться на свій телефон, розмірковуючи, що відбувається, надходить повідомлення WhatsApp від когось, який називає себе Службою ІТ-довідки Northridge . Контакту немає в її телефонній книзі.
Читання між рядків

У звичайний день Аліса помітила б червоні прапорці в цьому повідомленні. Але зараз після 23:00, вона втомилася, а в повідомленні використовується правильна лексика – «ротація облікових даних», «повторна перевірка сеансу», «Служба підтримки». Справжній нападник розраховує саме на таку втому.
Поштовх, який вирішує це

Негайно приходить третій поштовх MFA. Аліса пояснює: можливо, ІТ справді виконує технічне обслуговування. Схвалення один раз припинить шум, і вона зможе спати. Вона натискає «Схвалити».
Помилкове відчуття тиші

Підказки припиняються. Аліса видихає, підключає телефон і лягає спати. У Софії зловмисниця ввійшла в обліковий запис Northridge Logistics Portal. У них є приблизно двадцять хвилин, перш ніж система виявлення аномалії компанії підбере іноземний логін.
Електронна адреса, яка не сумується

Аліса влаштовується у своєму домашньому офісі з кавою. У її папці 'Вхідні' є пара повідомлень, які прийшли за ніч. Перша – від Девіда Парка з фінансів, і її тема зупиняє.
Фрагменти починають з’єднуватися

Аліса не надсилала цей електронний лист. Вона навіть не займається банкінгом постачальників. Її живіт опускається.

Що таке MFA Fatigue Attack?

Що ви дізнаєтесь у MFA Fatigue Attack

MFA Fatigue Attack — Кроки навчання

Закутування на ніч

Несподіваний запит на вхід

Відмова від першого запиту

Ще один, відразу

Повідомлення від "IT"

Читання між рядків

Поштовх, який вирішує це

Помилкове відчуття тиші

Електронна адреса, яка не сумується

Фрагменти починають з’єднуватися