การยืนยันตัวตนหลายปัจจัย (MFA) ถูกออกแบบมาเพื่อเติมเต็มช่องโหว่สำคัญในด้านความปลอดภัยของข้อมูลประจำตัว โดยหลักการคือแม้แฮ็กเกอร์จะได้รหัสผ่านไปแล้ว พวกเขาก็ยังไม่สามารถเข้าสู่ระบบได้หากไม่มีปัจจัยที่สอง อย่างไรก็ตาม ในปัจจุบันผู้โจมตีได้หาวิธีการลัดลอบเข้ามาใหม่ที่ไม่จำเป็นต้องขโมยอุปกรณ์หรือรหัสผ่านครั้งที่สอง แต่ใช้การหลอกล่อให้ผู้ใช้งานเองทำการอนุมัติการเข้าถึงให้

เทคนิคที่กำลังถูกใช้งานอย่างแพร่หลายเรียกว่า MFA Prompt Bombing หรือ MFA Fatigue ซึ่งเป็นการส่งคำขอยืนยันตัวตน (Push Notification) ซ้ำแล้วซ้ำเล่าไปยังโทรศัพท์มือถือของเหยื่อจำนวนมากครั้งจนกว่าผู้ใช้จะรู้สึกเบื่อหน่ายและกดอนุมัติเพื่อให้การแจ้งเตือนหยุดลง ในบางครั้งผู้โจมตีอาจแสร้งทำเป็นทีมไอทีของบริษัทเพื่อเพิ่มความน่าเชื่อถือในการโทรเข้าไปหาเหยื่อโดยตรงพร้อมขอให้กดยืนยัน

วิธีการนี้เปิดเผยให้เห็นว่า MFA แบบดั้งเดิมไม่ใช่เกราะกำบังที่สมบูรณ์แบบ องค์กรต้องปรับเปลี่ยนแนวทางความปลอดภัยใหม่ เช่น การนำ Number Matching (การให้ผู้ใช้พิมพ์ตัวเลขที่แสดงบนหน้าจอเข้าไปในแอป) มาใช้ การกำหนดจำนวนครั้งสูงสุดของการส่ง Prompt หรือการใช้ FIDO2 ที่พึ่งพาการยืนยันตัวตนแบบไบโอเมตริกซ์ซึ่งปลอดภัยกว่ามาก

คำศัพท์เทคนิคที่น่าสนใจ

• MFA (Multi-Factor Authentication) – การยืนยันตัวตนหลายปัจจัย วิธีการยืนยันตัวตนที่ต้องใช้ข้อมูลมากกว่า 1 ชิ้น เช่น รหัสผ่านร่วมกับรหัสที่ส่งมาทางมือถือ
• Prompt Bombing – การโจมตีโดยการส่งคำขอยืนยันตัวตน (Push Notification) จำนวนมากซ้ำๆ กันเพื่อหลอกล่อหรือบีบบังคับให้เหยื่อกดยืนยัน
• Number Matching – กลไกความปลอดภัยที่บังคับให้ผู้ใช้ต้องพิมพ์ตัวเลขที่แสดงอยู่บนหน้าจอล็อกอินลงไปในแอปยืนยันตัวตนบนมือถือเพื่อยืนยันความถูกต้อง
• FIDO2 – มาตรฐานการยืนยันตัวตนที่ไม่ใช้รหัสผ่าน (Passwordless) โดยพึ่งพาคีย์ความปลอดภัยหรือการยืนยันแบบไบโอเมตริกซ์ เช่น ลายนิ้วมือหรือใบหน้า

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/mfa-prompt-bombing-why-your-second.html