Генерация запросов многофакторной аутентификации

Злоумышленники могут пытаться обойти механизмы многофакторной аутентификации (MFA) и получить доступ к учетным записям путем генерации запросов MFA, отправляемых пользователям. Злоумышленники, имеющие учетные данные для Действительных учетных записей, могут быть не в состоянии завершить процесс входа, если у них нет доступа к механизмам 2FA или MFA, требуемым в качестве дополнительных учетных данных и средства безопасности. Чтобы обойти это, злоумышленники могут злоупотреблять автоматической генерацией push-уведомлений для служб MFA, таких как Duo Push, Microsoft Authenticator, Okta или аналогичных служб, чтобы пользователь предоставил доступ к своей учетной записи. Если у злоумышленников нет учетных данных для учетных записей жертв, они также могут злоупотреблять автоматической генерацией push-уведомлений, когда эта опция настроена для самостоятельного сброса пароля (SSPR). В некоторых случаях злоумышленники могут непрерывно повторять попытки входа, чтобы забрасывать пользователей push-уведомлениями MFA, SMS-сообщениями и телефонными звонками, что потенциально приводит к тому, что пользователь наконец принимает запрос на аутентификацию в ответ на "усталость от MFA".