MFA fatigue (česky únava 2FA nebo 2FA bombing) je útok, který zneužívá samotnou obranu 2FA proti uživateli. Útočník už nějak získal vaše heslo (z datového úniku, předchozího phishingu) a opakovaně se přihlašuje. Každý pokus pošle push notifikaci nebo SMS na váš telefon. Po 20., 50., 100. notifikaci v noci nebo ve schůzi unavený uživatel jeden Schválit omylem klepne — útočník je uvnitř. Nejvíce známý případ: útok na Uber 2022.

Jak to funguje

Útočník získá heslo (typicky z phishingu nebo datového úniku, kde uživatel použil stejné heslo na víc službách). Spustí skript, který každých pár vteřin zkouší přihlášení. Každý pokus generuje 2FA výzvu na uživatelův telefon. Útok kombinuje s sociálním inženýrstvím — útočník někdy paralelně volá oběti, představuje se jako IT podpora a říká klepněte na schválit, je to aktualizace. Řada uživatelů pod tlakem schválí, aby notifikace přestaly.

Jak to rozpoznat

  • Dostáváte opakované 2FA notifikace, i když jste se sami nepřihlašovali.
  • Notifikace přicházejí v neobvyklých časech (uprostřed noci, brzy ráno).
  • Souběžně vás kontaktuje IT support s žádostí o schválení.
  • Notifikace ukazuje neznámou lokalitu (jiné město, jiná země).
Reklama

Co dělat

  1. NIKDY neschvalujte 2FA notifikaci, kterou jste sami nevyvolali — i když je jich 100.
  2. Změňte si OKAMŽITĚ heslo z čistého zařízení — útočník už ho zná.
  3. Zkontrolujte aktivní relace ve službě (Google → Security → Active sessions, podobně u Microsoftu, banky).
  4. Pokud máte aplikační autentikátor (Google Authenticator), MFA fatigue nefunguje — neposílá push, jen generuje kódy.
  5. Pro citlivé účty zvažte hardwarový klíč (YubiKey) — fyzický zámek, nelze přesvědčit notifikací.

Situace v SR

Largescale MFA fatigue útok na české firmy zaznamenal NÚKIB poprvé v 2023, cíl byly především M365 účty zaměstnanců. Microsoft v reakci přidal funkci number matching — uživatel místo Schválit klepá konkrétní 2-ciferný kód, který mu zobrazil přihlašovací formulář. To MFA fatigue prakticky neutralizuje.

Reklama

Časté otázky

Co je number matching?

Vylepšení push 2FA: místo prostého Schválit tlačítka uživatel musí opsat 2-ciferný kód, který vidí na přihlašovací stránce. Útočník ho neví, takže schválení vyžaduje vědomou akci uživatele. Microsoft, Okta a další providers už toto mají.

Pomáhá hardware klíč proti MFA fatigue?

Ano, výrazně. Hardware klíč (YubiKey, Google Titan) vyžaduje fyzické dotknutí klíče při každém přihlášení. Útočník nemůže klíč omylem aktivovat ze vzdálené lokality. Pro nejcennější účty (e-mail admin, banka, krypto wallet) je to nejbezpečnější varianta.