Κόπωση MFA: Επιθέσεις βομβαρδισμού ειδοποιήσεων και πώς να τις σταματήσετε

Τελευταία ενημέρωση: 11/11/2025
Συγγραφέας: Αντρές Λεάλ

Έχετε ακούσει για επιθέσεις κόπωσης MFA ή βομβαρδισμούς με ειδοποιήσεις; Εάν όχι, θα πρέπει να συνεχίσετε να διαβάζετε και Μάθετε για αυτήν τη νέα τακτική και πώς τη χρησιμοποιούν οι κυβερνοεγκληματίεςΜε αυτόν τον τρόπο, θα ξέρετε τι να κάνετε αν περάσετε την δυσάρεστη εμπειρία να γίνετε θύμα μιας κρίσης κόπωσης MFA.

Κόπωση MFA: Από τι αποτελείται μια κρίση κόπωσης MFA;

Βομβαρδισμός ειδοποιήσεων κόπωσης MFA

Η πολυπαραγοντική πιστοποίηση, ή MFA, χρησιμοποιείται με επιτυχία για την ενίσχυση της ψηφιακής ασφάλειας εδώ και αρκετό καιρό. Έχει καταστεί σαφές ότι Οι κωδικοί πρόσβασης από μόνοι τους δεν προσφέρουν πλέον επαρκή προστασίαΤώρα είναι απαραίτητο να προσθέσετε ένα δεύτερο (και ακόμη και τρίτο) επίπεδο επαλήθευσης: ένα SMS, μια ειδοποίηση push ή ένα φυσικό κλειδί.

Παρεμπιπτόντως, έχετε ήδη ενεργοποιήσει τον έλεγχο ταυτότητας πολλαπλών παραγόντων στους λογαριασμούς χρηστών σας; Αν δεν είστε πολύ εξοικειωμένοι με το θέμα, μπορείτε να διαβάσετε το άρθρο. Έτσι λειτουργεί ο έλεγχος ταυτότητας σε δύο βήματα, τον οποίο θα πρέπει να ενεργοποιήσετε τώρα για να βελτιώσετε την ασφάλειά σας.Ωστόσο, ενώ αποτελεί ένα πολύ αποτελεσματικό επιπλέον μέτρο, Το MFA δεν είναι αλάθητοΑυτό έχει γίνει πολύ σαφές με τις πρόσφατες επιθέσεις MFA Fatigue, γνωστές και ως επιθέσεις βομβιστικής επίθεσης μέσω ειδοποιήσεων.

Τι είναι η Κόπωση MFA; Φανταστείτε αυτή τη σκηνή: Είναι αργά το βράδυ και χαλαρώνετε στον καναπέ παρακολουθώντας την αγαπημένη σας εκπομπή. Ξαφνικά, το smartphone σας αρχίζει να δονείται επίμονα. Κοιτάτε την οθόνη και βλέπετε τη μία ειδοποίηση μετά την άλλη: «Προσπαθείτε να συνδεθείτε;«Αγνοείς το πρώτο και το δεύτερο, αλλά Η ίδια ειδοποίηση συνεχίζει να έρχεται: δεκάδες από αυτούς! Σε μια στιγμή απογοήτευσης, απλώς για να σταματήσει το σφυροκόπημα, πατάς «Έγκριση».

Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ  Φέρτε την ταυτότητά σας στο κινητό σας: Πώς να το κάνετε

Πώς λειτουργεί η επίθεση βομβιστικής επίθεσης με ειδοποιήσεις

Μόλις βίωσες μια κρίση κόπωσης λόγω μυοκαρδιοπάθειας (MFA). Αλλά πώς είναι δυνατόν αυτό;

  1. Με κάποιο τρόπο, ο κυβερνοεγκληματίας απέκτησε το όνομα χρήστη και τον κωδικό πρόσβασής σας.
  2. Επειτα προσπαθεί επανειλημμένα να συνδεθεί σε κάποια υπηρεσία που χρησιμοποιείτε. Φυσικά, το σύστημα ελέγχου ταυτότητας στέλνει μια ειδοποίηση push στην εφαρμογή MFA.
  3. Το πρόβλημα προκύπτει όταν ο εισβολέας, χρησιμοποιώντας κάποιο αυτοματοποιημένο εργαλείο, Δημιουργεί δεκάδες ή και εκατοντάδες προσπάθειες σύνδεσης σε λίγα μόνο λεπτά..
  4. Αυτό έχει ως αποτέλεσμα το κινητό σας τηλέφωνο να βομβαρδίζεται με ειδοποιήσεις που ζητούν έγκριση.
  5. Σε μια προσπάθεια να σταματήσετε τη χιονοστιβάδα των ειδοποιήσεων, κάνετε κλικ στο "Εγκρίνω" Και αυτό είναι όλο: ο εισβολέας παίρνει τον έλεγχο του λογαριασμού σας.

Γιατί είναι τόσο αποτελεσματικό;

Βομβαρδισμός ειδοποιήσεων

Ο στόχος του MFA Fatigue δεν είναι να ξεγελάσει την τεχνολογία. Αντίθετα, επιδιώκει να εξαντλήστε την υπομονή και την κοινή λογική σαςΜε μια δεύτερη σκέψη, ο ανθρώπινος παράγοντας είναι ο πιο αδύναμος κρίκος στην αλυσίδα που προστατεύει την ασφάλειά σας. Γι' αυτό το μπαράζ ειδοποιήσεων έχει σχεδιαστεί για να σας κατακλύσει, να σας μπερδέψει, να σας κάνει να διστάσετε... μέχρι να πατήσετε το λάθος κουμπί. Το μόνο που χρειάζεται είναι ένα κλικ.

Ένας λόγος για τον οποίο η κόπωση MFA είναι τόσο αποτελεσματική είναι ότι Η έγκριση μιας ειδοποίησης push είναι απίστευτα εύκολη.Απαιτεί μόνο ένα άγγιγμα και συχνά δεν χρειάζεται καν να ξεκλειδώσετε το τηλέφωνο. Κατά καιρούς, μπορεί να είναι η απλούστερη λύση για να επαναφέρετε τη συσκευή σε κανονικές συνθήκες.

Και όλα χειροτερεύουν αν Ο εισβολέας επικοινωνεί μαζί σας προσποιούμενος ότι είναι κάποιος από την τεχνική υποστήριξη.Πιθανότατα θα προσφέρουν τη «βοήθειά» τους για να προσπαθήσουν να επιλύσουν το «πρόβλημα», προτρέποντάς σας να εγκρίνετε την ειδοποίηση. Αυτό συνέβη σε μια επίθεση του 2021 εναντίον της Microsoft, όπου η επιτιθέμενη ομάδα προσποιήθηκε ότι ήταν το τμήμα IT για να εξαπατήσει το θύμα.

Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ  Έτσι θα τερματιστούν οι ανεπιθύμητες κλήσεις στην Ισπανία: νέα μέτρα για την προστασία των καταναλωτών

Κόπωση MFA: Επιθέσεις βομβαρδισμού ειδοποιήσεων και πώς να τις σταματήσετε

Ειδοποιήσεις

Υπάρχει, λοιπόν, τρόπος να αμυνθούμε ενάντια στην κόπωση του MFA; Ναι, ευτυχώς, υπάρχουν βέλτιστες πρακτικές που λειτουργούν ενάντια στον βομβαρδισμό των ειδοποιήσεων. Δεν απαιτούν την κατάργηση του πολυπαραγοντικού ελέγχου ταυτότητας, αλλά μάλλον... να το εφαρμόσουν πιο έξυπναΤα πιο αποτελεσματικά μέτρα παρατίθενται παρακάτω.

Ποτέ, μα ποτέ, μην εγκρίνετε μια ειδοποίηση που δεν ζητήσατε.

Όσο κουρασμένος ή απογοητευμένος κι αν είσαι, Δεν πρέπει ποτέ να εγκρίνετε μια ειδοποίηση που δεν ζητήσατε.Αυτός είναι ο χρυσός κανόνας για να αποτρέψετε οποιαδήποτε προσπάθεια να σας εξαπατήσουν και να σας κάνουν να κουραστείτε από το MFA. Εάν δεν προσπαθείτε να συνδεθείτε σε μια υπηρεσία, οποιαδήποτε ειδοποίηση MFA είναι ύποπτη.

Από αυτή την άποψη, αξίζει επίσης να θυμόμαστε ότι Καμία υπηρεσία δεν θα επικοινωνήσει μαζί σας για να σας «βοηθήσει» να λύσετε «προβλήματα»Και ακόμη λιγότερο αν το μέσο επικοινωνίας είναι ένα κοινωνικό δίκτυο ή μια εφαρμογή ανταλλαγής μηνυμάτων, όπως το WhatsApp. Οποιαδήποτε ύποπτη ειδοποίηση θα πρέπει να αναφέρεται αμέσως στο τμήμα πληροφορικής ή ασφάλειας της εταιρείας ή της υπηρεσίας σας.

Αποφύγετε τη χρήση ειδοποιήσεων push ως μοναδική μέθοδο MFA

Ναι, οι ειδοποιήσεις push είναι βολικές, αλλά είναι επίσης ευάλωτες σε τέτοιου είδους επιθέσεις. Είναι προτιμότερο να χρησιμοποιείτε πιο ισχυρές μεθόδους ως μέρος του ελέγχου ταυτότητας δύο παραγόντων. Για παράδειγμα:

  • Κωδικοί TOTP (Κωδικός πρόσβασης μίας χρήσης βάσει χρόνου), οι οποίοι δημιουργούνται από εφαρμογές όπως το Google Authenticator ή Auty.
  • Φυσικά κλειδιά ασφαλείαςΩς YubiKey ή Κλειδί ασφαλείας Titan.
  • Έλεγχος ταυτότητας βάσει αριθμούΜε αυτήν τη μέθοδο, πρέπει να εισαγάγετε έναν αριθμό που εμφανίζεται στην οθόνη σύνδεσης, κάτι που αποτρέπει τις αυτόματες εγκρίσεις.
Αποκλειστικό περιεχόμενο - Κάντε κλικ εδώ  Τι να κάνετε τις πρώτες 24 ώρες μετά από μια παραβίαση: λογαριασμοί κινητού, υπολογιστή και διαδικτύου

Εφαρμογή ορίων και ειδοποιήσεων σε προσπάθειες ελέγχου ταυτότητας

Microsoft Authenticator

Εξερευνήστε το σύστημα ελέγχου ταυτότητας που χρησιμοποιείτε και Ενεργοποίηση ορίων προσπαθειών και ειδοποιήσεωνΛόγω του αυξανόμενου αριθμού αναφερόμενων περιπτώσεων κόπωσης MFA, όλο και περισσότερα συστήματα MFA περιλαμβάνουν επιλογές για:

  • Προσωρινός αποκλεισμός προσπαθειών μετά από αρκετές συνεχόμενες απορρίψεις.
  • αποστολή ειδοποιήσεων στην ομάδα ασφαλείας εάν εντοπιστούν πολλαπλές ειδοποιήσεις σε σύντομο χρονικό διάστημα.
  • Εγγραφή και έλεγχος όλες τις προσπάθειες ελέγχου ταυτότητας για μεταγενέστερη ανάλυση (ιστορικό πρόσβασης).
  • Απαιτείται ένας δεύτερος, ισχυρότερος παράγοντας εάν η προσπάθεια σύνδεσης προέρχεται από ασυνήθιστη τοποθεσία.
  • Αυτόματος αποκλεισμός πρόσβασης εάν η συμπεριφορά του χρήστη είναι ασυνήθιστη.

Με λίγα λόγια, μείνετε σε εγρήγορση! Η ενεργοποίηση της πολυπαραγοντικής επαλήθευσης ταυτότητας παραμένει ένα ουσιαστικό μέτρο για να προστατεύσετε την διαδικτυακή σας ασφάλεια. Αλλά μην νομίζετε ότι είναι ένα ανυπέρβλητο εμπόδιο. Αν μπορείτε να έχετε πρόσβαση σε αυτό, ο καθένας μπορεί αν καταφέρει να σας ξεγελάσει. Γι' αυτό οι εισβολείς θα σας στοχεύσουν: θα προσπαθήσουν να σας ενοχλήσουν μέχρι να τους αφήσετε να μπουν.

Μην πέσετε στην παγίδα της κόπωσης του MFA! Μην ενδώσετε στον βομβαρδισμό των ειδοποιήσεων. Αναφέρετε τυχόν ύποπτα αιτήματα και ενεργοποιήστε πρόσθετα όρια και ειδοποιήσειςΜε αυτόν τον τρόπο, θα είναι αδύνατο η επιμονή ενός εισβολέα να σας τρελάνει και να σας κάνει να πατήσετε λάθος κουμπί.