Conversation

うへぇ。やられたら発狂しそう。
> 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログインを許可するかどうか確認する。MFA Fatigueの手口ではこれを逆手に取り、故意にログイン試行を繰り返すことで確認通知を何度も執拗（しつよう）に受信させ、相手を疲れ果てさせて承認に追い込む。
> 報道によるとUberを狙った攻撃では、攻撃者が事前に何らかの手段で従業員のユーザー名とパスワードの組み合わせを入手して、この従業員のアカウントに何度も繰り返しアクセスを試みた。従業員には1時間以上にわたり、ログインを承認するかどうか確認するプッシュ通知が大量に送信され続けた。

👉GTA新作リークに使われた“多要素認証疲れ”攻撃とは　1時間以上通知攻め、従業員の根負け狙う：この頃、セキュリティ界隈で
https://www.itmedia.co.jp/news/articles/2209/28/news050.html