Mnohí zločinci sa rozhodli manipulovať samotnými používateľmi, aby tí bez toho, aby si to uvedomovali, spadli do ich pasce.
Online podvody sa naďalej prispôsobujú a teraz predstavujú zdanlivo legálne metódy získavania prihlasovacích údajov do systému. Hlavným cieľom týchto útokov je získať prístup k firemným informáciám vydávajúc sa za legitímneho používateľa.
S takouto kontrolou môžu kyberzločinci vykonávať škodlivé činnosti, ako napríklad vykonávať zložité útoky alebo odosielať phishingové e-maily obsahujúce interné a dôverné informácie, čím sa zvyšuje pravdepodobnosť podvodu svojich obetí.
Podľa špecializovaného portálu pre kybernetickú bezpečnosť je takzvaný MFA-bombarding – známy aj ako „push-bombardment“ alebo „MFA-únava“ – technika zameraná na vyčerpanie trpezlivosti používateľa neustálym prívalom žiadostí o potvrdenie.
Táto metóda je zameraná na hackovanie účtov chránených viacfaktorovou autentifikáciou (MFA), systémom, ktorý zvyčajne vyžaduje zadanie šesťmiestneho kódu, ktorý sa generuje v aplikácii alebo potvrdenie push oznámenia po zadaní prihlasovacieho mena a hesla, čo výrazne zvyšuje úroveň bezpečnosti a sťažuje úlohu útočníkov.
Vzhľadom na zložitosť priameho hacknutia viacfaktorovej autentifikácie sa mnohí zločinci rozhodli manipulovať samotným používateľom, aby ju obišiel bez toho, aby si to všimol.
Na tento účel používajú ukradnuté prihlasovacie údaje a pokúšajú sa opätovne prihlásiť do systému alebo obnoviť heslo, pričom generujú lavínu push-oznámení a správ s požiadavkou potvrdiť prístup alebo zmeniť heslo. Cieľom je, aby obeť, unavená alebo zmätená, nakoniec súhlasila s požiadavkou alebo postupovala podľa pokynov, len aby zastavila digitálne prenasledovanie.
Ako však varuje expert na kybernetickú kriminalitu Brian Krebs, táto taktika sa vyvinula: ak používateľ odoláva tlaku neustálych oznámení, útočníci siahnu po telefóne a vydávajú sa za zamestnancov podporného servisu, aby „pomohli“ a tak dokončili svoj podvod.
V jednom z prípadov opísaných Brianom Krebsom útočníci zaplavili telefón človeka nekonečnou sériou oznámení o nutnosti resetovať heslo Apple ID. Každá správa nútila používateľa zvoliť „Povoliť“ alebo „Nepovoliť“, než mohol pokračovať v normálnej práci so zariadením. Obeť prejavila pozoruhodnú trpezlivosť a podarilo sa jej odmietnuť viac ako sto žiadostí, pričom nepodľahla tlaku.
Zločinci sa však nevzdali a prešli k ďalšej fáze, ako ukazuje príklad uvedený v blogu: telefonický hovor z falošného čísla, ktoré vyzeralo ako číslo technickej podpory Apple. Počas rozhovoru sa pokúsili presvedčiť obeť, aby iniciovala resetovanie hesla a zdieľala dočasný kód zaslaný na jej zariadenie.
Pomocou tohto kódu mohli zmeniť heslo a získať kontrolu nad účtom. Našťastie obeť začala podozrievať pravdivosť hovoru a požiadala údajných agentov o potvrdenie osobných údajov; keď sa pomýlili v jej mene, prezradili sa ako podvodníci.
