MFA Fatigue – jak hakerzy pokonują weryfikację dwuskładnikową

Czym jest MFA Fatigue i dlaczego jest groźny?

Wieloskładnikowe uwierzytelnianie (MFA) skutecznie blokuje większość prób przejęcia kont. Gdy atakujący zdobędzie login i hasło – np. przez phishing lub wyciek danych – MFA staje na jego drodze jako dodatkowa bariera. Problem pojawia się, gdy haker decyduje się nie łamać zabezpieczenia technicznie, lecz zmęczyć człowieka.

Atak MFA Fatigue, zwany też push bombingiem, polega na wielokrotnym inicjowaniu logowania z użyciem skradzionych danych. Każda próba generuje powiadomienie push w aplikacji uwierzytelniającej ofiary – na przykład w Microsoft Authenticator czy Google Authenticator. Pracownik otrzymuje dziesiątki powiadomień w ciągu minut lub godzin. W końcu – ze złości, zmęczenia lub przekonania, że to błąd systemu – klika Zatwierdź. Haker wchodzi do środka.

To nie jest atak techniczny. To atak na ludzką psychologię – i dlatego jest tak skuteczny nawet w firmach, które zainwestowały w MFA.

Jak przebiega atak MFA Fatigue krok po kroku?

1. Zdobycie danych logowania – atakujący wchodzi w posiadanie loginu i hasła ofiary. Źródłem może być phishing, wyciek z bazy danych, credential stuffing lub zakup danych na darknecie.
2. Inicjowanie logowania – haker wielokrotnie próbuje zalogować się na konto ofiary. Każda próba wyzwala wysłanie powiadomienia push do telefonu pracownika.
3. Bombardowanie powiadomieniami – ofiara otrzymuje dziesiątki alertów o nieoczekiwanym logowaniu. Pojawiają się o różnych porach – w nocy, podczas spotkań, w weekendy – tak by maksymalnie rozdrażnić lub zdezorientować pracownika.
4. Inżynieria społeczna – równolegle atakujący może zadzwonić lub napisać do ofiary, podszywając się pod dział IT lub dostawcę systemu. Prosi o zatwierdzenie powiadomienia, argumentując rzekomą aktualizacją lub problemem technicznym.
5. Zatwierdzenie i przejęcie – gdy ofiara kliknie Zatwierdź, atakujący uzyskuje pełny dostęp do konta i połączonych systemów firmowych.

Cały atak może trwać od kilku minut do kilku godzin. Nie wymaga żadnych zaawansowanych narzędzi technicznych – wystarczą skradzione hasło i cierpliwość napastnika.

Głośne ataki MFA Fatigue – przypadki z życia wzięte

MFA Fatigue to nie teoria – to metoda, która doprowadziła do spektakularnych włamań i dotkliwych strat:

• Uber (2022) – 18-letni haker zdobył dane logowania pracownika przez phishing, a następnie zalewał go powiadomieniami push przez ponad godzinę. Gdy ofiara przestała odpowiadać, napisał do niej przez WhatsApp, podszywając się pod dział IT. Pracownik zatwierdził logowanie. Haker uzyskał dostęp do wewnętrznych systemów, w tym kont AWS i Google Cloud firmy.
• Rockstar Games (2022) – ten sam sprawca (powiązany z grupą Lapsus$) użył identycznej metody i wykradł wczesne nagrania z GTA VI. Wyciek był jednym z największych w historii branży gier wideo.
• Cisco (2022) – przejęto prywatne konto Google pracownika zsynchronizowane z hasłami firmowymi. Po dziesiątkach powiadomień push pracownik w końcu zatwierdził dostęp. Napastnicy uzyskali przyczółek w sieci korporacyjnej.
• Microsoft i NVIDIA (2022) – ta sama grupa Lapsus$ zaatakowała push bombingiem wiele dużych firm, wykradając kod źródłowy i dane wewnętrzne.

Ofiarami nie są wyłącznie korporacje – identyczne techniki stosuje się coraz częściej wobec małych i średnich firm, gdzie świadomość zagrożeń i środki ochrony bywają skromniejsze, a hakerzy mogą liczyć na łatwiejszy cel.

Jak rozpoznać atak i co zrobić w sytuacji zagrożenia?

Kluczem do obrony jest świadomość każdego pracownika. Każdy w firmie powinien wiedzieć, że:

• Niespodziewane powiadomienie MFA zawsze oznacza, że ktoś obcy próbuje zalogować się na Twoje konto – to nie błąd systemu.
• Nigdy nie należy zatwierdzać powiadomień, których się nie inicjowało – nawet jeśli pojawi się ich kilkanaście z rzędu. Seryjne powiadomienia to wyraźny sygnał alarmowy, nie powód do zatwierdzenia.
• Prawdziwy dział IT nigdy nie prosi przez telefon o kliknięcie Zatwierdź w aplikacji – to klasyczny schemat inżynierii społecznej.
• Każde nieoczekiwane powiadomienie MFA należy natychmiast zgłosić do administratora lub przełożonego – nawet jeśli pracownik nie jest pewien, czy to faktyczny atak.

Pracownik, który rozumie ten mechanizm, staje się prawdziwą tarczą. Warto przeprowadzić wewnętrzne szkolenie lub symulację ataku, aby te reakcje stały się automatyczne – bo w chwili prawdziwego ataku nie ma czasu na deliberację.

Phishing-resistant MFA – techniczne zabezpieczenie przed push bombingiem

Najlepszą odpowiedzią techniczną jest przejście na phishing-resistant MFA – metody uwierzytelniania, które eliminują podatność na push bombing. Kluczowe rozwiązania to:

• FIDO2 / klucze bezpieczeństwa – fizyczny klucz sprzętowy (np. YubiKey, Titan Key) lub biometria urządzenia (Windows Hello for Business). Logowanie wymaga fizycznej obecności użytkownika przy urządzeniu – żadne zdalne zatwierdzenie nie wchodzi w grę. To najsilniejsza dostępna metoda MFA.
• Passkeys – następca haseł oparty na kryptografii asymetrycznej. Nie istnieje tu żadne powiadomienie push do zatwierdzenia – zagrożenie MFA Fatigue po prostu nie może zaistnieć.
• Number matching w Microsoft Authenticator – zamiast prostego przycisku Zatwierdź, użytkownik musi wpisać dwucyfrowy kod wyświetlony na ekranie logowania. Atakujący nie zna tego kodu, więc atak zostaje zablokowany. Microsoft włączył tę funkcję domyślnie dla wszystkich tenantów Microsoft 365 od 2023 roku.
• Dodatkowy kontekst w powiadomieniu – Microsoft Authenticator może wyświetlać lokalizację geograficzną i nazwę aplikacji próbującej uzyskać dostęp. Ułatwia to natychmiastowe rozpoznanie podejrzanego logowania.

Dla kont uprzywilejowanych – administratorów IT, zarządu, działu finansów – wdrożenie kluczy FIDO2 powinno być traktowane priorytetowo.

Co wdrożyć w firmie już teraz – lista działań

Ochrona przed MFA Fatigue nie wymaga dużych nakładów, ale wymaga konsekwencji i dobrej konfiguracji. Lista działań do podjęcia:

1. Sprawdź i włącz number matching – w Microsoft Entra ID zweryfikuj, czy number matching jest aktywny dla wszystkich użytkowników. Starsze konfiguracje mogą wymagać ręcznego włączenia w panelu administratora.
2. Wdróż Conditional Access – ogranicz możliwość logowania do znanych lokalizacji, zgodnych urządzeń i określonych godzin pracy. Logowanie z nieznanego kraju powinno być automatycznie blokowane lub wymagać dodatkowej weryfikacji.
3. Włącz alerty o seryjnych nieudanych próbach MFA – Microsoft Entra ID Protection oraz inne platformy bezpieczeństwa mogą automatycznie blokować konto lub powiadamiać administratora przy wykryciu serii prób push bombingu.
4. Przeszkol wszystkich pracowników – zorganizuj krótkie szkolenie wyjaśniające mechanizm ataku. Jedna godzina szkolenia może zapobiec katastrofalnemu włamaniu.
5. Wdróż FIDO2 dla kont krytycznych – zakup kluczy bezpieczeństwa dla administratorów, zarządu i osób z dostępem do finansów i danych wrażliwych.
6. Zaplanuj test penetracyjny lub symulację – zewnętrzna weryfikacja realnego poziomu odporności firmy pozwoli wykryć słabe ogniwa, zanim zrobią to prawdziwi napastnicy.

Jeśli nie wiesz, czy Twoja firma jest właściwie skonfigurowana, audyt bezpieczeństwa IT przeprowadzony przez NovaSys pozwoli szybko ocenić stan ochrony i wskazać priorytety do działania.