MFA轰炸攻击是什么？如何有效防范？

   

什么是MFA轰炸攻击？ 

多因素认证（MFA）的设计初衷，是大幅降低基于密码的攻击风险，成为企业网络安全的重要防线。但即便MFA已被广泛部署，我们仍看到Lapsus$等高级威胁攻击者，通过一种看似简单却极具破坏力的攻击方式——MFA轰炸攻击（又称MFA垃圾邮件攻击、MFA疲劳攻击），成功入侵多家大型企业。

这种攻击无需高超的黑客技术，也不需要昂贵的工具，核心是利用任何安全系统中最不可预测的元素：人类行为。据微软研究数据显示，仅一年内就检测到超过38.2万起MFA疲劳攻击，其中1%的用户会盲目通过第一个意外的推送通知——这一数据充分说明，企业仅部署MFA远远不够，更需要一套全面的防护策略。

MFA轰炸攻击（又称MFA疲劳攻击、MFA提示轰炸、推送轰炸），本质是一种社会工程学攻击：攻击者向目标设备持续发送大量MFA验证请求，通过反复骚扰，迫使目标用户因烦躁、困惑或肌肉记忆，最终通过其中一次恶意认证请求。

与其他密码攻击不同，MFA轰炸攻击的致命之处在于，它将日常使用的技术变成了攻击用户的武器。当攻击者控制了MFA验证请求的频率和时机时，每一条合法的推送通知，都可能被利用成为攻击载体。

MFA轰炸攻击的攻击流程

第一阶段：获取用户凭证 

这一阶段通常在实际轰炸攻击前数周甚至数月就已开始。攻击者会投入大量时间，通过多种渠道收集有效的登录凭证。如今，暗网上的泄露凭证交易市场规模庞大且价格低廉，攻击者有时只需花费10至50美元，就能购买到大型企业的已验证凭证集。

第二阶段：触发认证提示 

获取有效凭证后，攻击者进入触发认证提示阶段，这一步需要精心的时机规划和策略。高级攻击者不会立即发起猛烈的轰炸攻击，而是先进行侦察：他们会尝试几次登录，了解目标的MFA配置、所使用的具体认证应用或服务，以及用户的典型在线活动模式。

部分攻击者会采取“低调渗透”策略，在数周内每天只发送几次MFA请求；另一些则会采取激进的MFA垃圾邮件攻击，每分钟发送数十条通知。前者的目的是让目标用户习惯这类认证请求，降低对每条通知的警惕性，不再仔细核对。

第三阶段：强化社会工程学操控 

社会工程学强化阶段，是区分普通攻击者与专业网络犯罪组织的关键。高级威胁攻击者明白，仅靠技术很难成功，对人类心理的操控才是核心。

在高级MFA轰炸攻击中，受害者还可能接到自称是技术支持、安全团队成员甚至公司高管的电话。这些来电者通常准备充分，会利用从社交媒体、公司网站和前期侦察中获取的信息，熟知目标的公司情况、同事信息和当前项目。他们会编造虚假的安全事件或系统维护需求，制造紧迫感，谎称需要立即通过认证验证。

第四阶段：利用获取的访问权限 

一旦受害者通过了虚假的认证请求，访问权限利用阶段就正式开始。专业攻击者清楚，在入侵被发现前，他们的操作窗口非常有限。

获得访问权限后的几分钟内，他们会执行一系列预设操作：修改密码，锁定合法用户，为自己争取更多时间；将自己的设备添加到账户中，确保即使原始入侵方式被发现，仍能持续访问；安装远程访问工具或后门木马，建立进入网络的备用入口；从密码管理器、浏览器保存的密码或邮箱中收集更多凭证，实现企业内部的横向渗透。

这一阶段的执行速度，往往决定了攻击最终是引发轻微安全事件，还是导致大规模数据泄露。

MFA轰炸攻击背后的心理学逻辑

安全专家在设计系统时，通常假设用户会对每一次认证请求做出理性、谨慎的判断。但数十年的行为研究表明，在压力、重复和时间限制下，人类的决策会越来越容易出现偏差——而这正是MFA轰炸攻击刻意营造的环境。

通知疲劳的影响 

人类的大脑并不擅长对重复、看似合法的请求保持持续警惕。当用户在正常工作中收到多条MFA提示时，多种心理因素会削弱他们的安全意识。

自动化偏见会让人们在熟悉的界面上形成无意识的操作习惯。经过数月在正常工作中合法通过MFA请求后，这种操作会变得高度自动化，用户甚至无需有意识地判断上下文和时机，就能通过通知。当攻击者将轰炸时间选在用户通常进行认证的时段（如周一早上上班时），这种肌肉记忆效应会变得格外危险。

消耗心理资源 

信任偏见会造成另一种心理漏洞，被攻击者利用。MFA提示来自用户日常工作中频繁接触的可信系统，与语法错误、发件人陌生的钓鱼邮件不同，认证通知看起来完全合法——因为它们确实是由真实的安全系统生成的。

用户被训练成信任这些通知，并迅速响应以维持工作效率和系统访问权限。当攻击者能够通过非法方式触发这些可信通知时，这种习得的信任就变成了攻击武器。

“只想让它停止”的心理 

“只想让它停止”的心理，或许是对MFA轰炸攻击最危险的心理反应。安全专家往往低估了这类攻击对日常工作流程和个人设备使用的实际干扰。

行为安全研究表明，高压场景——比如远程员工正在准备会议，却被大量MFA提示轰炸——会促使用户为了恢复正常状态，而直接通过通知。此时，用户会将这些通知视为需要解决的技术问题，而非需要评估的潜在安全威胁。

如何防范MFA轰炸攻击？

防范MFA轰炸攻击，需要采取“技术+人力”的双重策略，覆盖这类攻击成功的两个核心因素。企业不能只部署MFA就万事大吉，而需要更全面的防护方案。

部署自适应认证策略 

实施上下文感知认证系统，实时分析地理位置一致性、设备指纹、基于时间的访问模式和网络来源。这类系统会标记来自异常位置、陌生设备或可疑时间的认证请求；当检测到异常时，系统会自动提升安全要求，比如要求额外的验证方式，或针对高风险场景需要IT人员手动审批。

配置速率限制和流量控制 

企业可以配置系统，限制用户在特定时间段内的认证尝试次数（如5分钟内最多3次）。实施指数退避机制，在每次失败请求后增加尝试间隔——例如，从30秒开始，对于持续的可疑活动，间隔延长至数小时。同时，启用账户隔离功能，在提醒安全团队的同时自动禁用可疑账户，并提供清晰的恢复流程。

制定MFA轰炸相关的事件响应计划 

制定专门的指南，帮助安全团队区分合法的认证问题和轰炸攻击。指南中需包含检测标准，如多次快速请求、异常地理模式以及用户报告的可疑电话。建立安全的沟通渠道和标准化的用户联系脚本，以及即时补救措施，如临时禁用账户、安全重置密码和加强监控。

监控认证模式 

实施实时监控系统，跟踪认证频率、地理异常和用户行为模式。为用户和部门建立基准模式，自动标记明显的偏差。建立分层警报系统，根据威胁严重程度升级，并与安全信息和事件管理（SIEM）系统集成，将认证异常与企业内其他安全事件关联分析。

开展压力测试培训 

在条件允许的情况下，企业可以开展培训项目，模拟高压业务场景——即攻击者利用情绪状态和时间压力的场景。这类培训应教会用户保持安全意识，提供在压力下仍能有效决策的框架，并建立清晰的上报流程。

分析师对MFA轰炸攻击的看法

行业安全专家和研究机构一直在警告MFA轰炸攻击的风险不断上升。他们的研究结果揭示了一个令人担忧的现状：这类看似简单的攻击，正在入侵即使是防护完善的企业。

微软安全研究洞察 

几年前，微软安全研究团队向行业发出了极具警示意义的提醒——他们揭露了野外MFA轰炸攻击的庞大规模。其全面监控数据显示，仅12个月内就检测到超过38.2万起MFA疲劳攻击。

更令人担忧的是，微软的行为分析发现，约1%的用户会盲目通过收到的第一个意外MFA提示，不进行任何验证或上下文核对。虽然1%的比例看似不高，但对于企业规模的用户群体而言，这意味着数千个潜在的入侵入口。

研究还表明，攻击者的时机把握和攻击方式已变得非常成熟。他们不再进行随机的MFA轰炸，而是仔细研究目标的工作模式，找到用户最可能不加审视就通过请求的最佳攻击窗口（例如，繁忙的周一早晨、重要会议前，或已知的系统维护期间）。

2025年及以后的专家预测 

根据主要网络安全行业报告，2025年将成为认证安全威胁的关键转折点。

谷歌云《2025年网络安全预测》明确警告：“威胁攻击者将越来越多地利用人工智能开展复杂的钓鱼、语音钓鱼和社会工程学攻击”，并特别强调了旨在绕过MFA的技术。

趋势科技《2025年安全趋势报告》预测：“恶意攻击者将全力挖掘人工智能的潜力，让网络犯罪变得更简单、更快、更具破坏性。”其研究表明，人工智能驱动的社会工程学攻击，将使传统的MFA轰炸攻击变得更具迷惑性，更难被检测。

行业分析师尤其关注智能体人工智能（agentic AI）的出现——这类自主人工智能系统能够独立规划和执行任务，在网络攻击中，它们可以自动完成入侵、侦察和利用流程，提高攻击速度和精度，同时实时调整以绕过传统防御。飞塔（Fortinet）《2025年网络威胁预测》警告，这类人工智能代理将大幅提升攻击效率，给企业防护带来巨大挑战。

行业专家的共识非常明确：MFA轰炸攻击代表着攻击方法的根本性转变，这要求企业在认证安全和用户培训方面做出同样根本性的改变。正如多家领先网络安全公司所记录的那样，人工智能增强与人类心理利用相结合，将使这类攻击仅靠传统安全措施越来越难以防御。

借助ADSelfService Plus，保护企业免受MFA轰炸攻击

MFA轰炸攻击通常利用推送通知的漏洞，而ManageEngine ADSelfService Plus提供了多种防御机制来应对这类威胁。该解决方案除传统的推送通知外，还提供多种认证方式——包括FIDO2安全密钥、生物识别认证和TOTP令牌，帮助企业减少对MFA轰炸攻击目标（推送通知）的依赖。

其自适应MFA功能通过评估登录尝试过程中的风险因素，增强认证安全性。ADSelfService Plus还包含账户锁定策略，可在配置的失败认证次数后自动锁定用户，有效阻止依赖反复发送提示的MFA轰炸攻击。

此外，ADSelfService Plus支持无密码认证方式，从根源上消除了攻击者发起MFA轰炸攻击所需的初始凭证泄露问题。企业还可以利用该解决方案的全面认证日志，实时掌握认证模式，并在发生潜在安全事件时进行调查。

常见问题解答（FAQ）

1. 攻击者如何获取我的用户名和密码，发起MFA轰炸攻击？

   攻击者通常通过钓鱼邮件、数据泄露、凭证填充攻击，或从暗网市场购买等方式获取用户凭证。他们也可能利用社会工程学技术，直接诱骗你泄露登录信息。

2. 如果收到多个意外的MFA通知，我该怎么办？

   切勿通过任何你未主动发起的MFA请求。将意外通知视为潜在的MFA欺诈警报。如果收到多个通知，一律拒绝，并立即联系公司IT安全团队。如果轰炸持续，可暂时关闭设备通知，并尽快修改密码——因为攻击者很可能已经获取了你的凭证。

3. 如何判断MFA请求是否合法？

   合法的MFA请求，只应在你主动尝试登录账户时出现。请核对通知中的时间、位置和设备信息。如果不是你发起的登录尝试，或请求的位置、来源设备看起来可疑，一律拒绝请求，并进一步调查。

4. 任何类型的多因素认证都可能遭遇MFA轰炸攻击吗？

   MFA轰炸攻击主要针对向移动设备发送通知的推送式认证系统。其他MFA方式，如硬件安全密钥、生物识别认证或认证应用生成的基于时间的验证码，对轰炸攻击的抵抗力要强得多。

5. 既然存在这类攻击，使用MFA还安全吗？

   安全。MFA仍然比仅使用密码安全得多。MFA轰炸攻击需要攻击者先获取你的凭证，再通过诱骗你通过请求才能成功。解决方案不是放弃MFA，而是使用更安全的MFA方式，并对意外通知保持警惕。