MFA prompt bombing: drugi faktor puca na najljudskijem mjestu
MFA prompt bombing pretvara drugi faktor u pritisak na korisnika.📷 AI-generated image / TECH&SPACE
- ★MFA prompt bombing koristi ukradene vjerodajnice i pritisak ponavljanih push zahtjeva kako bi korisnik sam odobrio ulaz.
- ★Najslabija izvedba je MFA koji traži samo dodir na telefonu bez jasnog konteksta, broja, lokacije ili vezanja uz stvarnu sesiju.
- ★Otporniji pristup traži phishing-resistant MFA, ograničavanje promptova, bolji nadzor identiteta i jasne procedure za prijavu sumnjivih zahtjeva.
The Hacker News je 26. svibnja 2026. sažeo problem koji se već dugo vidi u identitetskoj sigurnosti: MFA nije isto što i siguran MFA. Drugi faktor je trebao zatvoriti rupu koju ostavlja ukradena lozinka. Ako napadač zna korisničko ime i lozinku, još uvijek mu treba dodatna potvrda. U teoriji, to je čisto. U praksi, napadač može prestati loviti sam token i početi loviti korisnikov refleks.
MFA prompt bombing radi upravo to. Nakon što se domogne vjerodajnica, napadač pokreće prijavu i gura korisniku niz zahtjeva za potvrdu. Korisnik vidi obavijest na telefonu, često bez dovoljno jasnog konteksta, i nakon nekoliko ponavljanja može kliknuti “odobri” samo da prekine buku. To nije sofisticirana kriptografska pobjeda. To je iskorištavanje dizajna koji sigurnosnu odluku pretvara u iritantan, ponavljajući prekid rada.
Zato je opasno govoriti da je “MFA uključen” kao da je time rasprava završena. CISA već dugo gura phishing-resistant MFA kao ozbiljniji standard, jer obični push zahtjev bez jače veze s prijavom ne rješava sve scenarije. Ako korisnik ne zna odakle zahtjev dolazi, koji se uređaj prijavljuje ili treba li potvrditi broj prikazan u stvarnoj sesiji, drugi faktor se svodi na pitanje: hoće li osoba danas pritisnuti krivi gumb?
Napadači ne moraju uvijek ukrasti token. Dovoljno je preplaviti korisnika zahtjevima dok jedan klik ne postane najlakši izlaz.
Kontekst prijave i number matching smanjuju prostor za slijepo odobravanje.📷 AI-generated image / TECH&SPACE
Bolja obrana počinje priznanjem da MFA nije jedna tehnologija nego spektar. Na slabijem kraju su push potvrde koje traže samo dodir. Jače izvedbe uvode number matching, dodatni kontekst prijave, ograničenja učestalosti i jasne signale rizika. Najotpornije varijante oslanjaju se na mehanizme vezane uz uređaj, ključ ili kriptografski izazov, što je smjer koji opisuju i NIST smjernice za digitalni identitet.
Za administratore, ovo je operativni problem, ne samo edukacijski poster. Sustav mora prepoznati neuobičajen niz MFA zahtjeva, prijave iz sumnjivog konteksta i pokušaje koji se oslanjaju na umor korisnika. Korisnik mora imati jednostavan način prijave sumnjivog prompta, a sigurnosni tim mora tretirati takvu prijavu kao mogući incident s kompromitiranom lozinkom. Ako je jedina uputa “nemoj kliknuti”, dizajn je već prebacio previše rizika na osobu pod pritiskom.
Microsoft u dokumentaciji za authentication methods jasno pokazuje koliko se pristupi razlikuju: SMS, aplikacijski push, privremeni kodovi, FIDO2 ključevi i certifikati nisu ista razina obrane. Organizacije koje su MFA uvele samo da ispune kontrolnu kućicu sada moraju pogledati konfiguraciju. Pitanje više nije ima li račun drugi faktor. Pitanje je može li napadač taj drugi faktor pretvoriti u spam dok korisnik ne popusti.
