Атака MFA Fatigue

Experience an MFA push-bombing attack and learn how to defend against it.

Що таке Атака MFA Fatigue?

Багатофакторна автентифікація блокує понад 99% автоматизованих атак на облікові записи - саме тому зловмисники навчилися націлюватися на людину перед запитом. У цій вправі Ви відчуєте реальну атаку MFA fatigue. Пізно вночі, після довгого дня, Ви починаєте отримувати push-сповіщення про спроби входу, яких Ви не робили. Ви правильно відхиляєте перші дві. Потім приходить повідомлення WhatsApp від когось, хто стверджує, що він з IT Help Desk, кажучи Вам, що запити є частиною планового обслуговування і Вам слід схвалити наступне. Втомлений і довіряючи повідомленню, Ви схвалюєте. Наступного ранку Ви прокидаєтеся і виявляєте, що Ваш обліковий запис був використаний для спроби шахрайства з банківським переказом постачальнику. Ви проходите через наслідки: розслідуєте, що сталося, телефонуєте справжній IT-команді для підтвердження атаки, подаєте офіційний звіт про інцидент і вивчаєте чотири засоби контролю, які перемагають атаки fatigue - звички, такі як відхилення кожного запиту, який Ви не ініціювали, і ставлення до позаканальних повідомлень 'IT' як до ворожих, а також технічні налаштування, такі як MFA з number matching і апаратні ключі, стійкі до фішингу. Симуляція змодельована на основі злому Uber 2022 року, де та сама комбінація push-спаму плюс повідомлення WhatsApp дала зловмиснику широкий внутрішній доступ. Знання шаблону - це захист.

Що ви дізнаєтесь у Атака MFA Fatigue

Атака MFA Fatigue — Кроки навчання

  1. Wrapping Up for the Night

    It's a few minutes past 11 PM on a Thursday. Alice has just sent the last email of the day - a routing update for tomorrow's freight schedule - and is about to shut her laptop. Her phone is on the desk beside her, charging. MFA is enabled on her work account. She sleeps better knowing it's there.

  2. An Unexpected Sign-In Request

    Alice's phone buzzes with an MFA push notification. Someone is trying to sign in to her Northridge Logistics Portal account. She's already signed in on her laptop. She did not initiate any new login.

  3. Denying the First Prompt

    This sign-in is not Alice's. The right move is to deny it immediately.

  4. Another One, Right Away

    Before Alice can put her phone down, a second MFA push arrives. Same account, same Sofia IP. The attempt counter on the prompt now reads Attempt #2 . Whoever has her password is not giving up.

  5. A Message from "IT"

    While Alice is staring at her phone wondering what's going on, a WhatsApp message arrives from someone identifying themselves as Northridge IT Help Desk . The contact is not in her phone book.

  6. Reading Between the Lines

    On a normal day, Alice would notice the red flags in this message. But it's after 11 PM, she's tired, and the message uses the right vocabulary - 'credential rotation', 'session re-validation', 'Help Desk'. A real attacker is counting on exactly that fatigue.

  7. The Push That Decides It

    Right on cue, a third MFA push arrives. Alice rationalizes: maybe IT really is doing maintenance. Approving once will end the noise so she can sleep. She taps Approve.

  8. A False Sense of Quiet

    The prompts stop. Alice exhales, plugs in her phone, and goes to sleep. In Sofia, the attacker is now logged in to her Northridge Logistics Portal account. They have about twenty minutes before the company's anomaly detection picks up the foreign login.

  9. An Email That Doesn't Add Up

    Alice settles into her home office with a coffee. Her inbox has a couple of overnight messages. The first is from David Park in Finance, and the subject line stops her cold.

  10. The Pieces Start Fitting Together

    Alice did not send that email. She doesn't even handle vendor banking. Her stomach drops.