Zamor od MFA: Napadi bombardiranja obavijestima i kako ih zaustaviti

Posljednje ažuriranje: 11/11/2025
Autor: Andres Leal

Jeste li čuli za MFA Fatigue ili napade bombardiranjem obavijestima? Ako niste, trebali biste nastaviti čitati i Saznajte više o ovoj novoj taktici i kako je koriste sajberkriminalciNa ovaj način ćete znati šta da radite ako prođete kroz neprijatno iskustvo da budete žrtva napada umora uzrokovanog multifunkcionalnim fatalnim napadom.

MFA umor: Od čega se sastoji napad MFA umora?

Bombardiranje obavještenjima o umoru MFA

Višefaktorska autentifikacija, ili MFA, uspješno se koristi za jačanje digitalne sigurnosti već neko vrijeme. Postalo je jasno da Same lozinke više ne pružaju dovoljnu zaštituSada je bitno dodati drugi (pa čak i treći) sloj verifikacije: SMS, push obavještenje ili fizički ključ.

Usput, jeste li već omogućili višefaktorsku autentifikaciju na svojim korisničkim računima? Ako niste baš upoznati s temom, možete pročitati članak Ovako funkcioniše dvostepena autentifikacija, koju biste trebali aktivirati sada kako biste poboljšali svoju sigurnost.Međutim, iako predstavlja vrlo efikasnu dodatnu mjeru, Ministarstvo vanjskih poslova nije nepogrešivoOvo je postalo vrlo jasno s nedavnim napadima MFA Fatigue, poznatim i kao napadi bombardiranjem obavijestima.

Šta je MFA umor? Zamislite ovu scenu: Kasno je noću i opuštate se na kauču gledajući svoju omiljenu emisiju. Odjednom, vaš pametni telefon počinje uporno vibrirati. Pogledate u ekran i vidite jednu obavijest za drugom: «Pokušavate li se prijaviti?"Ignorisete prvo i drugo; ali Stalno stiže ista obavijest: desetine njih! U trenutku frustracije, samo da biste zaustavili lupanje, pritisnete "Odobri".

Ekskluzivni sadržaj - kliknite ovdje  Kako ograničiti pristup određenim fotografijama iz aplikacija na telefonu

Kako funkcioniše napad bombardiranjem obavještenjima

Upravo ste doživjeli napad umora od MFA. Ali kako je to moguće?

  1. Nekako je sajberkriminalac dobio vaše korisničko ime i lozinku.
  2. Onda više puta pokušava se prijaviti na nekoj usluzi koju koristite. Naravno, sistem za autentifikaciju šalje push obavještenje vašoj MFA aplikaciji.
  3. Problem nastaje kada napadač, koristeći neki automatizovani alat, Generira desetine ili čak stotine pokušaja prijave za samo nekoliko minuta..
  4. Zbog toga je vaš mobilni telefon bombardiran obavještenjima koja traže odobrenje.
  5. U pokušaju da zaustavite lavinu obavještenja, kliknete na "Odobri" I to je to: napadač preuzima kontrolu nad vašim računom.

Zašto je tako efikasno?

Bombardiranje obavještenjima

Cilj MFA Fatigue-a nije nadmudriti tehnologiju. Umjesto toga, nastoji Iscrpite svoje strpljenje i zdrav razumKad bolje razmislim, ljudski faktor je najslabija karika u lancu koji štiti vašu sigurnost. Zato je lavina obavještenja osmišljena da vas preplavi, zbuni, natjera da oklijevate... sve dok ne pritisnete pogrešno dugme. Dovoljan je samo jedan klik.

Jedan od razloga zašto je MFA Fatouge toliko efikasan je taj što Odobravanje push obavještenja je nevjerovatno jednostavno.Potreban je samo jedan dodir, a često nije potrebno ni otključavanje telefona. Ponekad to može biti najjednostavnije rješenje za vraćanje uređaja u normalno stanje.

I sve postaje gore ako Napadač vas kontaktira pretvarajući se da je neko iz tehničke podrške.Vjerovatno će ponuditi svoju "pomoć" kako bi pokušali riješiti "problem", pozivajući vas da odobrite obavještenje. To je bio slučaj u napadu na Microsoft 2021. godine, gdje se napadačka grupa predstavljala kao IT odjel kako bi prevarila žrtvu.

Ekskluzivni sadržaj - kliknite ovdje  Meta želi da vaše privatne fotografije kreiraju priče pokretane umjetnom inteligencijom: kreativni poticaj ili rizik za privatnost?

Zamor od MFA: Napadi bombardiranja obavijestima i kako ih zaustaviti

Obaveštenja

Dakle, postoji li način da se odbranimo od zamora od MFA? Da, srećom, postoje najbolje prakse koje djeluju protiv bombardiranja obavijestima. One ne zahtijevaju uklanjanje višefaktorske autentifikacije, već... implementirajte to pametnijeNajefikasnije mjere su navedene u nastavku.

Nikada, baš nikada ne odobravajte obavještenje koje niste tražili.

Bez obzira koliko si umoran ili frustriran, Nikada ne biste trebali odobriti obavještenje koje niste tražili.Ovo je zlatno pravilo za sprječavanje bilo kakvog pokušaja da vas prevare i umore od MFA. Ako ne pokušavate da se prijavite na uslugu, svaka MFA obavijest je sumnjiva.

U tom smislu, vrijedi podsjetiti i na to da Nijedna služba vas neće kontaktirati da vam "pomogne" u rješavanju "problema"A još manje ako je sredstvo kontakta društvena mreža ili aplikacija za razmjenu poruka, kao što je WhatsApp. Svaku sumnjivu obavijest treba odmah prijaviti IT ili sigurnosnom odjelu vaše kompanije ili usluge.

Izbjegavajte korištenje push obavještenja kao jedine metode MFA

Da, push notifikacije su praktične, ali su također ranjive na ove vrste napada. Poželjno je koristiti robusnije metode kao dio dvofaktorske autentifikacije. Na primjer:

  • TOTP kodovi (Vremenski zasnovana jednokratna lozinka), koju generiraju aplikacije poput Google Authenticatora ili Auty.
  • Fizički sigurnosni ključevi, kako YubiKey ili Titan sigurnosni ključ.
  • Autentifikacija zasnovana na brojuKod ove metode morate unijeti broj koji se pojavljuje na ekranu za prijavu, što sprječava automatska odobrenja.
Ekskluzivni sadržaj - kliknite ovdje  Samsung će izbrisati neaktivne račune nakon 30 dana: Šta trebate učiniti ako ne želite izgubiti svoj račun.

Implementirajte ograničenja i upozorenja o pokušajima autentifikacije

Microsoft Authenticator

Istražite sistem autentifikacije koji koristite i Aktivirajte ograničenja pokušaja i upozorenjaZbog sve većeg broja prijavljenih slučajeva zamora od MFA, sve više MFA sistema uključuje opcije za:

  • Privremeno blokiraj pokušaje nakon nekoliko uzastopnih odbijanja.
  • slati upozorenja sigurnosnom timu ako se otkrije više obavještenja u kratkom vremenskom periodu.
  • Registar i revizija svi pokušaji autentifikacije za kasniju analizu (historija pristupa).
  • Potreban je drugi, jači faktor ako pokušaj prijave potiče sa neuobičajene lokacije.
  • Automatski blokiraj pristup ako je ponašanje korisnika neuobičajeno.

Ukratko, budite oprezni! Omogućavanje višefaktorske autentifikacije ostaje ključna mjera da zaštitite svoju online sigurnost. Ali nemojte misliti da je to nepremostiva prepreka. Ako vi možete pristupiti, svako može ako vas uspije prevariti. Zato će vas napadači ciljati: pokušavat će vas nervirati sve dok im ne dopustite da uđu.

Ne upadajte u zamku MFA umora! Ne popuštajte bombardovanju obavještenjima. Prijavite sve sumnjive zahtjeve i aktivirajte dodatna ograničenja i upozorenjaNa ovaj način, bit će nemoguće da vas upornost napadača izludi i natjera da pritisnete pogrešno dugme.