MFA fatigue là gì? Cách chặn mệt mỏi xác thực đa yếu tố trước khi bị chiếm tài khoản

MFA fatigue là gì? Đây là kiểu tấn công khiến nạn nhân bị “bội thực” yêu cầu xác thực đa yếu tố cho đến lúc mất cảnh giác và bấm chấp nhận. Kỹ thuật này thường xuất hiện dưới dạng spam thông báo push, mưa yêu cầu đăng nhập hoặc cuộc gọi giả mạo để ép người dùng tự mở cổng cho kẻ tấn công. Với doanh nghiệp, rủi ro không nằm ở số lượng thông báo, mà ở chỗ một lần bấm sai có thể biến thành chiếm tài khoản thật sự.

MFA fatigue là gì và vì sao nó nguy hiểm?

MFA fatigue còn được gọi là prompt bombing hoặc push fatigue. Dù tên khác nhau, ý tưởng chung vẫn giống nhau: thay vì cố vượt qua lớp xác thực bằng kỹ thuật mã hóa, kẻ tấn công tạo áp lực tâm lý để người dùng tự xác nhận một yêu cầu không mong muốn. Khi nạn nhân đã quen với việc nhận thông báo đăng nhập nhiều lần, họ dễ nghĩ rằng đó chỉ là lỗi hệ thống, một lần gửi nhầm hoặc một phiên đăng nhập hợp lệ trên thiết bị khác.

Điểm nguy hiểm của MFA fatigue nằm ở chỗ nó khai thác hành vi con người nhiều hơn khai thác lỗ hổng phần mềm. Nếu mật khẩu đã bị lộ từ phishing, credential stuffing hoặc từ một thiết bị nhiễm mã độc, kẻ tấn công chỉ cần tiếp tục bám vào tài khoản và chờ người dùng mệt mỏi. Trong môi trường doanh nghiệp, tài khoản email, tài khoản quản trị cloud, VPN và các ứng dụng nội bộ đều có thể trở thành mục tiêu.

MFA fatigue hoạt động như thế nào?

Một kịch bản phổ biến là kẻ tấn công có được mật khẩu hợp lệ của người dùng. Thay vì đăng nhập rồi dừng lại, chúng liên tục gửi yêu cầu xác thực đa yếu tố đến điện thoại hoặc ứng dụng authenticator. Sau vài lần thông báo dồn dập, người dùng có thể vô thức bấm “Approve” để cho qua. Một số biến thể còn đi xa hơn: sau khi spam push, kẻ tấn công gọi điện giả danh bộ phận IT hoặc helpdesk và nói rằng họ đang giúp xử lý “lỗi đăng nhập” để thuyết phục nạn nhân chấp nhận yêu cầu.

Trong nhiều sự cố thực tế, yếu tố quyết định không phải công nghệ nào yếu hơn, mà là tốc độ phản ứng của người dùng trước áp lực. Vì vậy MFA fatigue đặc biệt hiệu quả với môi trường có văn hóa hỗ trợ quá mức “để cho nhanh”, hoặc nơi người dùng chưa được nhắc rằng họ không bao giờ nên chấp nhận một yêu cầu MFA nếu bản thân không chủ động đăng nhập.

Mưa thông báo push

Đây là dạng dễ gặp nhất. Thay vì chờ một lần xác thực thành công, kẻ tấn công bắn liên tục các thông báo lên điện thoại. Nếu hệ thống cho phép approve/deny đơn giản mà không có cơ chế kiểm tra bổ sung, nạn nhân sẽ nhanh chóng bị kéo vào trạng thái phản xạ. Khi số lần thông báo quá nhiều, họ có xu hướng chỉ muốn làm cho im điện thoại, và đó chính là thời điểm nguy hiểm.

Đánh lừa qua helpdesk hoặc cuộc gọi giả

Một số nhóm tấn công dùng social engineering để gọi cho người dùng và tự nhận là nhân viên hỗ trợ, nhắc rằng “hệ thống đang báo lỗi”. Cách này đặc biệt nguy hiểm nếu doanh nghiệp chưa có quy trình xác minh danh tính rõ ràng cho mọi yêu cầu hỗ trợ liên quan đến đăng nhập, reset MFA hoặc khôi phục truy cập.

Dấu hiệu nhận biết sớm

Với đội IT, mọi dấu hiệu kể trên nên được xem là tín hiệu cảnh báo chứ không phải sự cố nhỏ. Khi người dùng bắt đầu báo nhận nhiều prompt lạ, cần kiểm tra log đăng nhập, tạm khóa phiên đáng ngờ và xác minh xem có tài khoản nào khác bị lạm dụng hay không.

MFA fatigue khác gì phishing, OTP phishing và push fatigue?

MFA fatigue là một nhánh của tấn công nhắm vào quy trình xác thực. Nó không nhất thiết dựa vào trang đăng nhập giả như phishing truyền thống. Với OTP phishing, kẻ tấn công cố dụ người dùng nhập mã một lần vào site giả. Với push fatigue, mục tiêu là làm người dùng chấp nhận yêu cầu nhiều lần đến mức mất cảnh giác. Dù chi tiết khác nhau, điểm chung là cả ba đều khai thác thói quen người dùng hơn là phá mã kỹ thuật.

Nếu doanh nghiệp đã có IAM tốt, Conditional Access rõ ràng và đang chuyển sang phương thức mạnh hơn như phishing-resistant MFA, nguy cơ MFA fatigue sẽ giảm đáng kể. Ngược lại, nếu quy trình xác thực còn mơ hồ, người dùng rất dễ bị kéo vào trạng thái “cứ approve cho xong”.

Cách chặn MFA fatigue ngay từ hôm nay

1. Thông báo cho người dùng rằng mọi yêu cầu MFA không chủ động tạo ra đều phải bị từ chối và báo ngay cho IT.
2. Tắt hoặc hạn chế các phương thức xác thực yếu, đặc biệt với tài khoản quản trị, tài khoản email và tài khoản cloud.
3. Áp dụng Conditional Access để khóa theo vị trí, thiết bị, tình trạng tuân thủ và mức rủi ro đăng nhập.
4. Bật logging, cảnh báo số lượng xác thực thất bại và theo dõi các đợt push bất thường theo tài khoản.
5. Chuẩn hóa quy trình helpdesk để không ai yêu cầu người dùng chấp nhận prompt MFA qua điện thoại.

Bước quan trọng nhất là đổi nhận thức: yêu cầu MFA không chủ động không phải là “phiền toái của hệ thống”, mà có thể là dấu hiệu đang có người cố chiếm tài khoản. Chỉ riêng thay đổi thông điệp này đã giúp nhiều đội IT giảm đáng kể nguy cơ người dùng bấm đồng ý theo phản xạ.

Vai trò của IAM và Conditional Access trong việc chống spam MFA

Trong IAM, bạn quản lý ai được quyền gì và khi nào được quyền đó. Trong Conditional Access, bạn quyết định ngữ cảnh nào phải tăng mức kiểm tra hoặc chặn hẳn. Hai lớp này giúp doanh nghiệp không phụ thuộc hoàn toàn vào phản xạ của người dùng. Nếu phát hiện đăng nhập từ thiết bị không đạt chuẩn, quốc gia lạ hoặc tín hiệu rủi ro cao, hệ thống có thể buộc kiểm tra bổ sung thay vì chỉ gửi một thông báo dễ bị approve nhầm.

Đây cũng là lý do MFA fatigue không nên được xử lý như một lỗi riêng lẻ của người dùng. Nó là vấn đề thiết kế kiểm soát truy cập. Khi chính sách được thiết kế tốt, người dùng chỉ nhận prompt trong đúng ngữ cảnh. Khi chính sách lỏng lẻo, kẻ tấn công có thể tận dụng cùng một cơ chế xác thực để gây áp lực ngược lại cho nạn nhân.

Khi nào nên nâng cấp sang phương thức mạnh hơn?

Nếu doanh nghiệp của bạn đang dùng push MFA đơn giản cho toàn bộ người dùng, đã từng gặp phishing hoặc có tài khoản đặc quyền, đây là lúc nên tính tới phương thức khó bị lừa hơn. Phishing-resistant MFA với security key hoặc passkey sẽ làm giảm đáng kể khả năng người dùng vô tình phê duyệt nhầm. Bên cạnh đó, bạn cũng nên xem lại chiến lược Passkey và kế hoạch giảm phụ thuộc vào OTP truyền thống.

Đối với nhóm admin hoặc nhóm có quyền truy cập vào hệ thống quan trọng, yêu cầu “không dùng phương thức dễ bị spam” nên được xem là tiêu chuẩn tối thiểu. Còn với người dùng phổ thông, bạn có thể áp dụng theo từng nhóm rủi ro, không nhất thiết ép đồng loạt một cách quá nặng ngay từ đầu.

Checklist xử lý khi đã thấy dấu hiệu MFA fatigue

• Khóa hoặc vô hiệu hóa phiên đăng nhập đáng ngờ ngay khi phát hiện.
• Buộc reset mật khẩu nếu nghi ngờ mật khẩu đã bị lộ.
• Xóa các phiên MFA cũ và xác minh lại thiết bị đã đăng ký.
• Kiểm tra log để tìm tài khoản khác có cùng hành vi bất thường.
• Nhắc người dùng chỉ approve khi chính họ chủ động đăng nhập.
• Rà lại policy cho nhóm admin và nhóm tài khoản nhạy cảm trước khi khôi phục truy cập.

Nếu doanh nghiệp đã đi theo định hướng Zero Trust, checklist này còn có giá trị cao hơn vì nó nhắc đội vận hành giảm tối đa niềm tin mặc định vào phiên đăng nhập và luôn xác minh theo ngữ cảnh.

MFA fatigue trong chiến lược an ninh tổng thể

MFA fatigue không chỉ là một mánh khóe lừa người dùng. Nó là lời nhắc rằng xác thực phải được thiết kế như một hệ thống nhiều lớp, nơi mật khẩu, MFA, thiết bị, rủi ro phiên, quyền truy cập và quy trình hỗ trợ đều phải làm việc cùng nhau. Nếu chỉ tập trung vào một lớp mà bỏ quên lớp còn lại, kẻ tấn công sẽ luôn có chỗ để khai thác.

Một chiến lược thực tế thường đi theo chuỗi: củng cố IAM, bổ sung Conditional Access, giảm phụ thuộc vào phương thức yếu, đào tạo người dùng và dần chuyển tài khoản nhạy cảm sang phishing-resistant MFA hoặc passkey. Khi các lớp đó được ghép lại, MFA fatigue không còn là đường tắt đáng tin cậy cho kẻ tấn công nữa.

Câu hỏi thường gặp

MFA fatigue có giống OTP phishing không?

Không hoàn toàn. OTP phishing chủ yếu dụ người dùng nhập mã vào trang giả, còn MFA fatigue tập trung vào việc spam yêu cầu xác thực cho đến khi người dùng bấm chấp nhận. Hai kỹ thuật khác nhau về cơ chế nhưng đều khai thác sự mất cảnh giác của con người.

Tài khoản nào dễ bị MFA fatigue nhất?

Tài khoản email, admin cloud, tài khoản đặc quyền, tài khoản helpdesk và các tài khoản có quyền phê duyệt là mục tiêu dễ bị tấn công nhất. Đây là những tài khoản mà chỉ cần một lần approve sai cũng có thể kéo theo thiệt hại lớn.

Chỉ cần đào tạo người dùng là đủ chưa?

Chưa đủ. Đào tạo là lớp bắt buộc, nhưng cần đi cùng IAM, Conditional Access, logging và phương thức xác thực mạnh hơn. Nếu chỉ nhắc người dùng “đừng bấm nhầm” mà không đổi chính sách, doanh nghiệp vẫn còn rủi ro lớn.