Uwierzytelnianie wieloskładnikowe (MFA), uznawane dotychczas za jeden z filarów cyberbezpieczeństwa, staje się celem coraz bardziej wyrafinowanych ataków. Cyberprzestępcy opracowali skuteczne metody pozwalające omijać tę formę zabezpieczeń, co otwiera nowy, niebezpieczny front w walce o bezpieczeństwo danych firmowych i prywatnych.
Wydawało się, iż samo hasło to przeżytek, a wieloskładnikowe uwierzytelnianie jest złotym standardem ochrony tożsamości. Najnowsze dane pokazują jednak, iż choćby to zabezpieczenie przestało być gwarantem bezpieczeństwa. Mimo iż ponad 78% firm na świecie wdrożyło MFA, aż 28% z nich doświadczyło naruszeń bezpieczeństwa. Hakerzy, zamiast próbować łamać drugi składnik uwierzytelnienia, nauczyli się go obchodzić, wykorzystując zarówno błędy ludzkie, jak i luki w architekturze systemów. To fundamentalna zmiana taktyki, która zmusza do ponownej oceny dotychczasowych strategii obronnych, a problem dotyka choćby największych dostawców, takich jak Microsoft Azure czy Okta, których systemy MFA również zostały skutecznie sforsowane.
Przestępcy stosują kilka głównych metod omijania MFA, a ich skuteczność jest alarmująco wysoka. Jedną z najpopularniejszych technik jest tzw. MFA Fatigue (lub “prompt bombing”), polegająca na zalewaniu użytkownika falą próśb o zatwierdzenie logowania po wcześniejszym przejęciu jego loginu i hasła. Atakujący liczą, iż zdezorientowana lub zmęczona ofiara w końcu przez pomyłkę zatwierdzi powiadomienie. Innym, bardziej zaawansowanym sposobem, są ataki typu Adversary-in-the-Middle (AiTM). Haker tworzy fałszywą stronę logowania, która pośredniczy w komunikacji między ofiarą a prawdziwym serwisem. Gdy użytkownik wpisuje swoje dane i kod MFA, atakujący przechwytuje je w czasie rzeczywistym, a co najważniejsze, kradnie tzw. ciasteczko sesji (session cookie).

Przejęcie ciasteczka sesji jest kluczowe, ponieważ pozwala atakującemu uzyskać dostęp do konta ofiary bez konieczności ponownego logowania i podawania danych uwierzytelniających. W praktyce oznacza to, iż haker może swobodnie poruszać się po systemie, podszywając się pod prawowitego użytkownika, podczas gdy mechanizm MFA został już jednorazowo, poprawnie użyty przez ofiarę. Skalę zagrożenia potwierdza FBI, które oficjalnie ostrzega przed kradzieżą plików cookie w celu obejścia uwierzytelniania wieloskładnikowego. Inne popularne metody to SIM swapping, gdzie przestępcy przejmują numer telefonu ofiary, aby otrzymywać kody SMS, oraz wykorzystywanie starych protokołów (np. IMAP, POP), które często nie obsługują MFA, ale wciąż mają dostęp do zasobów chmurowych.