Mnoho zločinců se rozhodlo manipulovat samotnými uživateli, aby se ti, aniž by si toho byli vědomi, dostali do jejich pasti.
Online podvody se neustále přizpůsobují a nyní představují zdánlivě legální metody získávání přihlašovacích údajů do systému. Hlavním cílem těchto útoků je získat přístup k firemním informacím tím, že se vydávají za legitimního uživatele.
S takovou kontrolou mohou kyberzločinci provádět škodlivé akce, jako jsou složité útoky nebo odesílání phishingových e-mailů obsahujících interní a důvěrné informace, což zvyšuje pravděpodobnost podvedení svých obětí.
Podle specializovaného portálu pro kybernetickou bezpečnost Malwarebytes.com je takzvaný MFA bombarding – známý také jako „push bombarding“ nebo „MFA únava“ – technika zaměřená na vyčerpání trpělivosti uživatele neustálým proudem žádostí o potvrzení.
Tato metoda je zaměřena na prolomení účtů chráněných vícefaktorovou autentifikací (MFA) – systémem, který obvykle vyžaduje zadání šestimístného kódu zaslaného SMS zprávou, vygenerovaného v aplikaci, nebo potvrzení push oznámení po zadání přihlašovacího jména a hesla, což výrazně zvyšuje úroveň bezpečnosti a komplikuje úkol útočníkům.
Vzhledem ke složitosti přímého prolomení vícefaktorové autentizace se mnoho zločinců rozhodlo manipulovat samotným uživatelem, aby ji obešel, aniž by si toho všiml.
Kontext: nový druh podvodu, který jedním kliknutím myši nainstaluje virus během několika sekund a ohrozí důvěrné informace
K tomu používají ukradené přihlašovací údaje a pokouší se znovu přihlásit do systému nebo resetovat heslo, čímž generují lavinu push notifikací a zpráv s žádostí o potvrzení přístupu nebo změnu hesla. Cílem je, aby unavená nebo zmatená oběť nakonec souhlasila s požadavkem nebo postupovala podle pokynů, jen aby zastavila digitální pronásledování.
Jak však varuje blog Briana Krebsa, tato taktika se vyvinula: pokud uživatel odolává tlaku neustálých oznámení, útočníci se uchýlí k telefonnímu hovoru, vydávají se za zaměstnance podpory, aby „pomohli“ a tím dokončili svůj podvod.
V jednom z případů popsaných Brianem Krebsem útočníci zaplavili telefon člověka nekonečnou sérií oznámení o nutnosti resetovat heslo Apple ID. Každá zpráva nutila uživatele vybrat „Povolit“ nebo „Nepovolit“, než se mohl vrátit k normálnímu používání zařízení. Oběť prokázala pozoruhodnou trpělivost a dokázala odmítnout více než stovku žádostí, aniž by podlehla tlaku.
Zločinci se však nevzdali a přešli k další fázi, jak ukazuje blog: telefonát z falešného čísla, které vypadalo jako číslo technické podpory Apple. Během hovoru se pokoušeli přesvědčit oběť, aby resetovala heslo a sdělila jim dočasný kód zaslaný na její zařízení.
Pomocí tohoto kódu by mohli změnit heslo a získat kontrolu nad účtem. Naštěstí oběť měla podezření, že hovor není autentický, a požádala údajné agenty o potvrzení osobních údajů; když se spletli v jejím jméně, prozradili se jako podvodníci.
