การยืนยันตัวตนแบบหลายปัจจัย (MFA) เคยถูกมองว่าเป็นกุญแจสำคัญในการปิดช่องโหว่ด้านความปลอดภัยของข้อมูลประจำตัว โดยหลักการคือแม้แฮกเกอร์จะได้รหัสผ่านไปแล้ว พวกเขาก็ยังไม่สามารถเข้าสู่ระบบได้หากไม่มีปัจจัยยืนยันซ้ำ อย่างไรก็ตาม ในปัจจุบันผู้โจมตีได้หาวิธีการลัดลอบข้ามกำแพงป้องกันนี้ พวกเขาไม่จำเป็นต้องขโมยอุปกรณ์หรือรหัสผ่านแบบครั้งเดียว (OTP) แต่ใช้วิธีการหลอกล่อให้ผู้ใช้งานเองทำการอนุมัติคำขอเข้าสู่ระบบแทน

เทคนิคดังกล่าวเรียกว่า MFA Prompt Bombing หรือ MFA Fatigue ซึ่งเป็นการส่งคำขอยืนยันตัวตนหรือการแจ้งเตือน (Push Notification) จำนวนมหาศาลไปยังโทรศัพท์ของเหยื่อในช่วงเวลาสั้นๆ จนทำให้เกิดความรำคาญและหงุดหงิด เมื่อผู้ใช้งานเบื่อหน่ายกับการกดปฏิเสธตลอดเวลา พวกเขามักจะกดยอมรับเพื่อให้การแจ้งเตือนหยุดลง โดยไม่ทันได้สำนึกว่าตนเองกำลังเปิดทางให้ผู้โจมตีเข้าสู่ระบบได้อย่างสมบูรณ์

การโจมตีด้วยวิธีนี้เป็นข้อพิสูจน์ว่าช่องโหว่ที่ใหญ่ที่สุดในระบบความปลอดภัยมักมาจากปัจจัยมนุษย์ การพึ่งพาเพียง MFA แบบดั้งเดิมอาจไม่เพียงพอต่อสภาพแวดล้อมที่ซับซ้อนในปัจจุบัน องค์กรจึงควรประเมินและปรับปรุงมาตรการรักษาความปลอดภัย โดยการนำเทคโนโลยีการตรวจสอบเพิ่มเติมมาใช้ เช่น ระบบตรวจจับพฤติกรรมผู้ใช้ (User and Entity Behavior Analytics – UEBA) หรือการจำกัดจำนวนคำขอพุชที่สามารถส่งได้ เพื่อป้องกันไม่ให้พนักงานตกเป็นเหยื่อของกลยุทธ์ทางจิตวิทยาของผู้โจมตี

คำศัพท์เทคนิคที่น่าสนใจ

• MFA (Multi-Factor Authentication) – การยืนยันตัวตนแบบหลายปัจจัย ซึ่งต้องใช้ข้อมูลมากกว่า 1 ชิ้น (เช่น รหัสผ่านและรหัสจากแอป) เพื่อยืนยันตัวตน
• Prompt Bombing – การโจมตีโดยการส่งคำขอยืนยันตัวตน (Push Notification) จำนวนมากไปยังอุปกรณ์ของเหยื่อเพื่อหลอกให้กดยอมรับ
• MFA Fatigue – อาการเหนื่อยล้าจากการยืนยันตัวตน เกิดจากการที่ผู้ใช้งานได้รับคำขออนุมัติตลอดเวลาจนนำไปสู่การกดยอมรับโดยไม่คิด
• Push Notification – การแจ้งเตือนแบบพุชที่ปรากฏบนหน้าจอโทรศัพท์หรืออุปกรณ์ เพื่อให้ผู้ใช้ทำการอนุมัติหรือปฏิเสธคำขอเข้าสู่ระบบ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/mfa-prompt-bombing-why-your-second.html