Kradzież tożsamości
Wysoki
ZarządCISOIT

MFA fatigue — zmęczenie powiadomieniami

MFA Fatigue / Push Bombing

MFA fatigue to zalewanie ofiary powiadomieniami push, aż zatwierdzi logowanie atakującego. Samo MFA nie wystarczy. Sprawdź, jak się chronić.

4 min czytaniaPrzykład: Przejęcie konta pracownika Ubera (2022) — atakujący z grupy Lapsus$ zalał ofiarę powiadomieniami MFA i podszył się pod IT, by nakłonić do zatwierdzenia
Udostępnij
📶niedziela, 14 lipca2:47🔒1 nowych powiadomień z AuthenticatoraKilkanaście żądańw minutę —to nie przypadekLogowaniew środku nocy —nie Ty jezainicjowałeśNapastnik znaTwoje hasło —czeka aż klikniesz„Zatwierdź”Pokusa:„kliknę, żebyprzestały”Jedno zmęczonekliknięcie = dostępdla atakującegoTO BYŁ MFA FATIGUE— symulacja ataku (push bombing) —MFA pushsamo niewystarczyNumber matchingi passkeyszatrzymują atak< 15 minreakcja SOCSecIQseciq.pl

Kluczowe wnioski

  • MFA fatigue (push bombing) to zalewanie ofiary dziesiątkami powiadomień push 'Zatwierdź logowanie', aż zmęczona kliknie 'Zatwierdź'
  • Atakujący ma już hasło ofiary (z wycieku lub phishingu) — samo MFA typu 'tak/nie' go nie zatrzymuje
  • Często łączony z vishingiem: atakujący dzwoni podszywając się pod dział IT ('zatwierdź to logowanie, robimy aktualizację')
  • Obrona: number matching, klucze odporne na phishing (passkeys/FIDO2), edukacja i monitoring anomalii logowań w SOC

Czym jest MFA fatigue?

MFA fatigue (nazywany też push bombing lub MFA bombing, czyli zmęczenie powiadomieniami uwierzytelniania) to technika, w której atakujący dysponuje już hasłem ofiary i próbuje przełamać wyłącznie drugi składnik logowania. Zamiast łamać MFA technicznie, wykorzystuje człowieka — zalewa ofiarę powiadomieniami push „Zatwierdź logowanie", licząc, że zmęczona, zdezorientowana lub przekonana, że to błąd systemu, kliknie „Zatwierdź".

Kluczowy przekaz dla osoby decyzyjnej: samo wdrożenie MFA nie wystarczy, jeśli firma używa prostych powiadomień typu „tak/nie". To realny wektor ataku mimo poprawnie skonfigurowanego uwierzytelniania wieloskładnikowego. MFA fatigue nie łamie technologii — łamie uwagę i cierpliwość użytkownika.

Jak działa atak?

  1. Zdobycie hasła — atakujący pozyskuje login i hasło ofiary z wycieku danych, phishingu lub złośliwego oprogramowania typu infostealer
  2. Uruchomienie logowania — próbuje zalogować się na konto, co wyzwala żądanie potwierdzenia MFA na urządzeniu ofiary
  3. Zalewanie powiadomieniami — powtarza próbę dziesiątki razy, generując lawinę powiadomień push, często w nocy lub wcześnie rano, gdy czujność jest najniższa
  4. Presja społeczna (vishing) — coraz częściej łączy atak z telefonem, podszywając się pod dział IT: „zatwierdź to logowanie, robimy aktualizację systemu"
  5. Jedno błędne kliknięcie — zmęczona lub zmanipulowana ofiara zatwierdza żądanie, dając atakującemu pełny dostęp do konta
  6. Przejęcie i eskalacja — atakujący loguje się, rejestruje własne urządzenie MFA i porusza się dalej w środowisku firmy

Głośne przykłady pokazują skuteczność tej metody. Przejęcia w dużych firmach technologicznych — jak atak na Ubera w 2022 roku — były realizowane właśnie tak: grupy takie jak Lapsus$ i Scattered Spider łączyły MFA fatigue z manipulacją telefoniczną. Przywołujemy je jako ilustrację mechanizmu, nie jako straszak — pokazują, że nawet dojrzałe organizacje z wdrożonym MFA są podatne.

Kogo dotyczy w Polsce?

MFA fatigue dotyczy każdej organizacji, która wdrożyła MFA oparte na powiadomieniach push — a to dziś większość firm korzystających z Microsoft 365, Google Workspace czy VPN z aplikacją uwierzytelniającą:

  • Duże firmy i korporacje — z rozbudowanym środowiskiem tożsamości (Entra ID / Azure AD), gdzie jedno przejęte konto otwiera drogę do dalszych zasobów
  • Sektor finansowy i usługi profesjonalne — atrakcyjne dane, wysoka wartość przejętego konta
  • Administracja i podmioty pod NIS2/KSC 2.0 — konta uprzywilejowane są celem numer jeden, a incydent podlega obowiązkowi raportowania
  • MŚP — często wdrożyły MFA „na szybko" w domyślnej, podatnej konfiguracji push, bez number matching i bez monitoringu logowań

Wspólny mianownik: atak nie wymaga zaawansowanych narzędzi. Wystarczy wykradzione hasło — a te krążą masowo po wyciekach — oraz cierpliwość i odrobina socjotechniki.

Jak się chronić?

  1. Number matching — zamiast prostego „zatwierdź / odrzuć", użytkownik musi przepisać kod wyświetlony na ekranie logowania do aplikacji. Atakujący nie widzi tego kodu, więc samo zmęczenie nie wystarczy, by przejąć konto. To ustawienie domyślne w Microsoft Authenticator — warto je egzekwować w całej organizacji.
  2. MFA odporne na phishingpasskeys i klucze FIDO2 eliminują problem u źródła: nie da się ich „zatwierdzić" dla logowania inicjowanego na cudzym urządzeniu. To najsilniejsza ochrona, szczególnie dla kont uprzywilejowanych.
  3. Limit prób i alerty — konfiguracja blokad po wielokrotnych nieudanych żądaniach oraz automatyczne alerty przy serii powiadomień w krótkim czasie
  4. Edukacja użytkowników — jasna zasada: „nigdy nie zatwierdzaj logowania, którego sam nie zainicjowałeś", oraz świadomość, że dział IT nigdy nie prosi telefonicznie o zatwierdzenie MFA
  5. Monitoring anomalii logowań — SOC wykrywa nietypowe wzorce: logowania z nieznanych lokalizacji, serie żądań MFA, rejestrację nowego urządzenia uwierzytelniającego
  6. Higiena haseł — menedżer haseł i reagowanie na wycieki ograniczają pierwszy etap ataku, czyli zdobycie hasła

Jak SecIQ pomaga?

  • SecIQ SOC monitoruje logowania 24/7 i wykrywa wzorce charakterystyczne dla MFA fatigue — serie żądań uwierzytelnienia, logowania z nietypowych lokalizacji, nagłą rejestrację nowego urządzenia MFA
  • Ochrona tożsamości — wdrożenie i egzekwowanie number matching, migracja kont uprzywilejowanych na passkeys/FIDO2, polityki dostępu warunkowego w Entra ID
  • Reagowanie na incydent — gdy pojawi się seria podejrzanych żądań, analityk może zablokować konto, wymusić zmianę hasła i cofnąć aktywne sesje, zanim atakujący się zadomowi
  • Edukacja zespołu — praktyczne zasady dla pracowników, które przekładają teorię na jedno proste zachowanie: nie zatwierdzam logowania, którego nie zaczynałem

Operatorzy SecIQ znają Twoją firmę i Twoje środowisko tożsamości — to nie anonimowy zespół, który reaguje na każdy alert od zera. Umów rozmowę o ochronie tożsamości.

Źródła

MFAMFA fatiguePush bombingTożsamośćUwierzytelnianie
FAQ

Najczęściej zadawane pytania

Czy MFA chroni przed atakiem MFA fatigue?
Nie każde. Proste powiadomienia push typu 'zatwierdź / odrzuć' są podatne — wystarczy jedno błędne kliknięcie zmęczonego użytkownika. Odporne są metody z number matching (przepisanie kodu z ekranu) oraz klucze FIDO2/passkeys, które w ogóle nie dają się zatwierdzić dla logowania na innym urządzeniu.
Skąd atakujący ma hasło, skoro mam włączone MFA?
Z wycieków danych, ataków phishingowych, złośliwego oprogramowania typu infostealer lub zakupu na forach przestępczych. MFA fatigue to drugi etap — atakujący ma już poprawne hasło i próbuje przełamać wyłącznie drugi składnik, spamując powiadomieniami.
Co zrobić, gdy dostaję wiele powiadomień MFA, których nie inicjowałem?
Nigdy nie zatwierdzaj. Odrzuć wszystkie żądania, natychmiast zmień hasło i zgłoś sytuację do IT lub SOC — to sygnał, że ktoś zna Twoje hasło i aktywnie próbuje się zalogować. Wielokrotne żądania w krótkim czasie to klasyczny objaw trwającego ataku.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Bezpłatna konsultacja · 15 min · bez zobowiązań