Xác thực đa yếu tố (MFA) từ lâu được xem là lớp phòng thủ quan trọng trong bảo mật tài khoản cá nhân và hệ thống doanh nghiệp. Tuy nhiên, chính cơ chế này cũng có thể trở thành mục tiêu bị khai thác nếu yếu tố con người không được kiểm soát đúng mức. Một kỹ thuật được ghi nhận ngày càng phổ biến là MFA Fatigue, hay còn gọi là MFA Prompt Bombing.
Khi thông báo xác thực trở thành công cụ tấn công
Tấn công MFA Fatigue xảy ra khi kẻ xấu có trong tay thông tin đăng nhập cơ bản (username và mật khẩu) và sử dụng chính cơ chế xác thực push của người dùng để gửi liên tục các yêu cầu xác thực đến thiết bị cá nhân. Mục tiêu là khiến người dùng nhầm lẫn, mất cảnh giác hoặc đơn giản là quá mệt mỏi để tiếp tục từ chối, và cuối cùng sẽ chấp nhận yêu cầu mà không kiểm tra kỹ.
Đây là một dạng tấn công khai thác tâm lý và hành vi, thay vì dựa vào lỗ hổng kỹ thuật. Trong môi trường doanh nghiệp, đặc biệt với lực lượng lao động từ xa hoặc thường xuyên di chuyển, việc xử lý nhanh các yêu cầu trên thiết bị di động có thể trở thành điểm yếu đáng kể.
Những ví dụ điển hình
Một số tổ chức lớn từng ghi nhận bị ảnh hưởng bởi kỹ thuật này:
Uber từng xác nhận hệ thống nội bộ bị truy cập trái phép sau khi một nhân viên vô tình xác nhận một yêu cầu MFA liên tục được gửi bởi kẻ tấn công.
Cisco công bố kết quả điều tra cho thấy tài khoản VPN của nhân viên bị khai thác thông qua spam yêu cầu MFA.
Microsoft và Okta cũng từng bị nhóm tấn công LAPSUS$ tiếp cận bằng kỹ thuật tương tự, tập trung vào việc khai thác tài khoản quản trị nội bộ.
🔗 Microsoft Security Blog
Các sự kiện trên không chỉ cho thấy hiệu quả của kỹ thuật tấn công dựa vào hành vi người dùng, mà còn phản ánh khoảng trống trong nhận thức bảo mật tại nhiều tổ chức.
Hướng tiếp cận giảm thiểu rủi ro
Trong bối cảnh MFA Fatigue được sử dụng như một công cụ tấn công phổ biến, các tổ chức đang dần chuyển sang các mô hình xác thực nâng cao và chiến lược kiểm soát chặt chẽ hơn.
Một số biện pháp đang được áp dụng gồm:
Sử dụng khóa bảo mật vật lý theo chuẩn FIDO2 thay cho xác thực bằng push notification.
Áp dụng xác thực OTP sinh từ ứng dụng hoặc sinh trắc học thay vì hình thức xác nhận đơn giản.
Tích hợp mô hình Zero Trust để đánh giá rủi ro theo ngữ cảnh: thiết bị, địa điểm, hành vi truy cập,...
Giám sát tần suất yêu cầu MFA, cảnh báo khi xuất hiện bất thường từ hệ thống quản trị (qua các công cụ như SIEM, UEBA).
Đào tạo người dùng về cách nhận diện dấu hiệu tấn công, nhấn mạnh không xác nhận bất kỳ yêu cầu nào nếu không tự mình khởi tạo phiên đăng nhập.
Nhìn lại chiến lược bảo vệ
MFA là một trong những phương thức phòng vệ hiệu quả nhất trước các rủi ro tấn công tài khoản, nhưng không nên được xem là bất khả xâm phạm. Việc lạm dụng các cơ chế xác thực “dễ sử dụng” nhưng thiếu xác minh kỹ càng có thể vô tình trở thành kẽ hở lớn nhất trong hệ thống.
Để duy trì tính hiệu quả của xác thực đa yếu tố, doanh nghiệp cần đồng thời nâng cấp công nghệ, tăng cường kiểm soát hành vi và đầu tư cho đào tạo nhận thức. Đây là nền tảng để giảm thiểu các cuộc tấn công không dựa vào kỹ thuật, nhưng vẫn gây tổn thất lớn – như MFA Fatigue.
