MFA fatigue — zmęczenie powiadomieniami
MFA Fatigue / Push Bombing
MFA fatigue to zalewanie ofiary powiadomieniami push, aż zatwierdzi logowanie atakującego. Samo MFA nie wystarczy. Sprawdź, jak się chronić.
MITRE ATT&CK
Kluczowe wnioski
- ◆MFA fatigue (push bombing) to zalewanie ofiary dziesiątkami powiadomień push 'Zatwierdź logowanie', aż zmęczona kliknie 'Zatwierdź'
- ◆Atakujący ma już hasło ofiary (z wycieku lub phishingu) — samo MFA typu 'tak/nie' go nie zatrzymuje
- ◆Często łączony z vishingiem: atakujący dzwoni podszywając się pod dział IT ('zatwierdź to logowanie, robimy aktualizację')
- ◆Obrona: number matching, klucze odporne na phishing (passkeys/FIDO2), edukacja i monitoring anomalii logowań w SOC
Czym jest MFA fatigue?
MFA fatigue (nazywany też push bombing lub MFA bombing, czyli zmęczenie powiadomieniami uwierzytelniania) to technika, w której atakujący dysponuje już hasłem ofiary i próbuje przełamać wyłącznie drugi składnik logowania. Zamiast łamać MFA technicznie, wykorzystuje człowieka — zalewa ofiarę powiadomieniami push „Zatwierdź logowanie", licząc, że zmęczona, zdezorientowana lub przekonana, że to błąd systemu, kliknie „Zatwierdź".
Kluczowy przekaz dla osoby decyzyjnej: samo wdrożenie MFA nie wystarczy, jeśli firma używa prostych powiadomień typu „tak/nie". To realny wektor ataku mimo poprawnie skonfigurowanego uwierzytelniania wieloskładnikowego. MFA fatigue nie łamie technologii — łamie uwagę i cierpliwość użytkownika.
Jak działa atak?
- Zdobycie hasła — atakujący pozyskuje login i hasło ofiary z wycieku danych, phishingu lub złośliwego oprogramowania typu infostealer
- Uruchomienie logowania — próbuje zalogować się na konto, co wyzwala żądanie potwierdzenia MFA na urządzeniu ofiary
- Zalewanie powiadomieniami — powtarza próbę dziesiątki razy, generując lawinę powiadomień push, często w nocy lub wcześnie rano, gdy czujność jest najniższa
- Presja społeczna (vishing) — coraz częściej łączy atak z telefonem, podszywając się pod dział IT: „zatwierdź to logowanie, robimy aktualizację systemu"
- Jedno błędne kliknięcie — zmęczona lub zmanipulowana ofiara zatwierdza żądanie, dając atakującemu pełny dostęp do konta
- Przejęcie i eskalacja — atakujący loguje się, rejestruje własne urządzenie MFA i porusza się dalej w środowisku firmy
Głośne przykłady pokazują skuteczność tej metody. Przejęcia w dużych firmach technologicznych — jak atak na Ubera w 2022 roku — były realizowane właśnie tak: grupy takie jak Lapsus$ i Scattered Spider łączyły MFA fatigue z manipulacją telefoniczną. Przywołujemy je jako ilustrację mechanizmu, nie jako straszak — pokazują, że nawet dojrzałe organizacje z wdrożonym MFA są podatne.
Kogo dotyczy w Polsce?
MFA fatigue dotyczy każdej organizacji, która wdrożyła MFA oparte na powiadomieniach push — a to dziś większość firm korzystających z Microsoft 365, Google Workspace czy VPN z aplikacją uwierzytelniającą:
- Duże firmy i korporacje — z rozbudowanym środowiskiem tożsamości (Entra ID / Azure AD), gdzie jedno przejęte konto otwiera drogę do dalszych zasobów
- Sektor finansowy i usługi profesjonalne — atrakcyjne dane, wysoka wartość przejętego konta
- Administracja i podmioty pod NIS2/KSC 2.0 — konta uprzywilejowane są celem numer jeden, a incydent podlega obowiązkowi raportowania
- MŚP — często wdrożyły MFA „na szybko" w domyślnej, podatnej konfiguracji push, bez number matching i bez monitoringu logowań
Wspólny mianownik: atak nie wymaga zaawansowanych narzędzi. Wystarczy wykradzione hasło — a te krążą masowo po wyciekach — oraz cierpliwość i odrobina socjotechniki.
Jak się chronić?
- Number matching — zamiast prostego „zatwierdź / odrzuć", użytkownik musi przepisać kod wyświetlony na ekranie logowania do aplikacji. Atakujący nie widzi tego kodu, więc samo zmęczenie nie wystarczy, by przejąć konto. To ustawienie domyślne w Microsoft Authenticator — warto je egzekwować w całej organizacji.
- MFA odporne na phishing — passkeys i klucze FIDO2 eliminują problem u źródła: nie da się ich „zatwierdzić" dla logowania inicjowanego na cudzym urządzeniu. To najsilniejsza ochrona, szczególnie dla kont uprzywilejowanych.
- Limit prób i alerty — konfiguracja blokad po wielokrotnych nieudanych żądaniach oraz automatyczne alerty przy serii powiadomień w krótkim czasie
- Edukacja użytkowników — jasna zasada: „nigdy nie zatwierdzaj logowania, którego sam nie zainicjowałeś", oraz świadomość, że dział IT nigdy nie prosi telefonicznie o zatwierdzenie MFA
- Monitoring anomalii logowań — SOC wykrywa nietypowe wzorce: logowania z nieznanych lokalizacji, serie żądań MFA, rejestrację nowego urządzenia uwierzytelniającego
- Higiena haseł — menedżer haseł i reagowanie na wycieki ograniczają pierwszy etap ataku, czyli zdobycie hasła
Jak SecIQ pomaga?
- SecIQ SOC monitoruje logowania 24/7 i wykrywa wzorce charakterystyczne dla MFA fatigue — serie żądań uwierzytelnienia, logowania z nietypowych lokalizacji, nagłą rejestrację nowego urządzenia MFA
- Ochrona tożsamości — wdrożenie i egzekwowanie number matching, migracja kont uprzywilejowanych na passkeys/FIDO2, polityki dostępu warunkowego w Entra ID
- Reagowanie na incydent — gdy pojawi się seria podejrzanych żądań, analityk może zablokować konto, wymusić zmianę hasła i cofnąć aktywne sesje, zanim atakujący się zadomowi
- Edukacja zespołu — praktyczne zasady dla pracowników, które przekładają teorię na jedno proste zachowanie: nie zatwierdzam logowania, którego nie zaczynałem
Operatorzy SecIQ znają Twoją firmę i Twoje środowisko tożsamości — to nie anonimowy zespół, który reaguje na każdy alert od zera. Umów rozmowę o ochronie tożsamości.
Źródła
- Microsoft — Defend your users from MFA fatigue attacks — mechanizm number matching w Microsoft Authenticator
- CISA — Implementing Phishing-Resistant MFA — rekomendacje dotyczące MFA odpornego na phishing
- CERT Polska — analizy ataków na uwierzytelnianie i przejęcia kont w polskich organizacjach
Najczęściej zadawane pytania
Czy MFA chroni przed atakiem MFA fatigue?
Skąd atakujący ma hasło, skoro mam włączone MFA?
Co zrobić, gdy dostaję wiele powiadomień MFA, których nie inicjowałem?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.
Powiązane ataki
Chroń swoją organizację
SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.
Bezpłatna konsultacja · 15 min · bez zobowiązań