การยืนยันตัวตนหลายปัจจัย (MFA) ถูกออกแบบมาเพื่อเติมเต็มช่องโหว่สำคัญในด้านความปลอดภัยของข้อมูลประจำตัว โดยหลักการคือแม้ผู้โจมตีจะได้ไปซึ่งรหัสผ่าน พวกเขาก็ยังไม่สามารถเข้าสู่ระบบได้หากไม่มีปัจจัยการยืนยันชั้นที่สอง อย่างไรก็ตาม ตรรกะดังกล่าวกำลังถูกท้าทายเมื่อผู้โจมตีพบวิธีการใหม่ที่ไม่จำเป็นต้องขโมยปัจจัยที่สองนั้น แต่ใช้การหลอกลวงให้ผู้ใช้เองเป็นผู้ส่งมอบการยืนยันให้แทน

เทคนิคที่น่าเป็นห่วงที่สุดในขณะนี้คือ “MFA Prompt Bombing” หรือการ Bombing ด้วย Notification ยืนยันตัวตน ซึ่งเป็นรูปแบบหนึ่งของการโจมตีแบบ Social Engineering ผู้โจมตีจะทำการส่งคำขอยืนยันตัวตน (Push Notification) ไปยังอุปกรณ์ของเหยื่ออย่างต่อเนื่องและรัวๆ จนกระทั่งผู้ใช้เกิดอาการรำคาญ หงุดหงิด และเบื่อหน่าย ในที่สุดเหยื่อก็มักจะกดยืนยันเพื่อหยุดการแจ้งเตือนที่รบกวนเหล่านั้น โดยไม่ตระหนักว่าตนเองกำลังเปิดทางให้ผู้โจมตีเข้าสู่ระบบ

สถานการณ์นี้เป็นบทเตือนสำคัญสำหรับองค์กรต่างๆ ที่พึ่งพา MFA แบบดั้งเดิมว่าเป็นแนวทางเดียวในการปกป้องข้อมูล การแก้ไขปัญหานี้จำเป็นต้องใช้มาตรการเสริม เช่น การจำกัดจำนวนครั้งในการส่ง Prompt การใช้ MFA แบบ Number Matching เพื่อให้แน่ใจว่าผู้ใช้รู้สึกถึงบริบทของการเข้าสู่ระบบ หรือการนำ FIDO2/WebAuthn มาใช้งานซึ่งมีความปลอดภัยสูงกว่าการกดยืนยันบนแอปพลิเคชันแบบเดิมๆ

คำศัพท์เทคนิคที่น่าสนใจ

• MFA (Multi-Factor Authentication) – การยืนยันตัวตนหลายปัจจัย กระบวนการยืนยันตัวตนที่ผู้ใช้ต้องให้ข้อมูลมากกว่า 1 ประเภท เช่น รหัสผ่านร่วมกับรหัส OTP หรือการกดยืนยันบนมือถือ
• MFA Prompt Bombing – การโจมตีโดยการส่งคำขอยืนยันตัวตน (Push Notification) ไปยังอุปกรณ์ของเหยื่อจำนวนมากและต่อเนื่องกัน เพื่อหลอกลวงให้เหยื่อกดยืนยันจากความรำคาญ
• Social Engineering – วิศวกรรมสังคม การโจมตีที่ใช้การจัดการทางจิตวิทยาเพื่อหลอกลวงให้ผู้คนเปิดเผยข้อมูลลับหรือทำการกระทำที่เป็นอันตราย เช่น การหลอกให้กดยืนยันสิทธิ์
• Push Notification – การแจ้งเตือนแบบพุช ข้อความแจ้งเตือนที่ปรากฏบนหน้าจออุปกรณ์ เช่น มือถือ ที่แอปพลิเคชันส่งมาเพื่อขอให้ผู้ใช้ดำเนินการหรือรับทราบข้อมูล

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/mfa-prompt-bombing-why-your-second.html