การยืนยันตัวตนหลายปัจจัย (MFA) เคยถูกมองว่าเป็นกุญแจสำคัญในการปิดช่องโหว่ด้านความปลอดภัย เพราะแม้แฮกเกอร์จะมีรหัสผ่านก็ตาม ก็ยังไม่สามารถเข้าถึงระบบได้หากไม่มีปัจจัยที่สอง อย่างไรก็ตาม ภัยคุกคามรูปแบบใหม่ที่เรียกว่า MFA Prompt Bombing หรือ MFA Fatigue ได้เปลี่ยนแปลงกฎเกมไปแล้ว แฮกเกอร์ไม่จำเป็นต้องขโมยอุปกรณ์หรือโทเค็นยืนยันตัวตน แต่พวกเขาใช้วิธีการส่งคำขอยืนยันตัวตน (Push Notification) ซ้ำแล้วซ้ำเล่าไปยังผู้ใช้งานจนกว่าจะรำคาญและกดยอมรับเพื่อหยุดการแจ้งเตือนเหล่านั้น

เทคนิคนี้มักเริ่มต้นจากการที่ผู้โจมตีใช้ข้อมูลรับรองที่ถูกขโมยมาจากการฟิชชิ่งหรือการซื้อขายบนดาร์กเว็บเพื่อพยายามเข้าสู่ระบบ ซึ่งจะทำให้ระบบส่งคำขอ MFA ไปยังโทรศัพท์ของเหยื่อ หากผู้ใช้งานปฏิเสธ พวกเขาจะส่งคำขอใหม่หลายครั้งในช่วงเวลาสั้นๆ โดยมักจะแอบอ้างเป็นทีมไอทีเพื่อหลอกลวงให้เหยื่อเชื่อว่าเป็นการแจ้งเตือนที่ถูกต้อง ท้ายที่สุด เมื่อผู้ใช้เบื่อหน่ายกับการแจ้งเตือนที่ไม่หยุดนิ่ง พวกเขาก็มักจะกด “อนุมัติ” เพื่อให้การแจ้งเตือนหายไป ซึ่งนั่นคือจุดที่แฮกเกอร์ได้เข้าถึงบัญชีอย่างเต็มรูปแบบ

การแก้ไขปัญหานี้จึงไม่ได้หยุดอยู่แค่การเปิดใช้งาน MFA แต่องค์กรต้องปรับเปลี่ยนไปใช้มาตรการที่แข็งแกร่งยิ่งขึ้น โดยเฉพาะอย่างยิ่ง Number Matching MFA ซึ่งจะแสดงตัวเลขให้ผู้ใช้กรอกลงในแอปพลิเคชันเพื่อยืนยันว่าการเข้าสู่ระบบนั้นถูกต้อง นอกจากนี้ การใช้ FIDO2/WebAuthn ที่พึ่งพากุญแจความปลอดภัยแบบฟิสิคัล (Physical Security Key) ก็ถือเป็นทางเลือกที่ปลอดภัยที่สุด เพราะมันต้องการการแตะกุญแจจริงจึงจะผ่านการยืนยันได้ ทำให้การโจมตีแบบ Prompt Bombing ใช้การไม่ได้

คำศัพท์เทคนิคที่น่าสนใจ

• MFA (Multi-Factor Authentication) – การยืนยันตัวตนหลายปัจจัย กระบวนการยืนยันตัวตนที่ใช้มากกว่า 1 วิธี เช่น รหัสผ่านร่วมกับรหัสผ่านแบบใช้ครั้งเดียว (OTP) หรือการแจ้งเตือนผ่านแอป
• MFA Prompt Bombing / MFA Fatigue – การโจมตีด้วยการส่งคำขอยืนยันตัวตน (Push Notification) ซ้ำแล้วซ้ำเล่าเพื่อทำให้ผู้ใช้หงุดหงิดและกดยอมรับเพื่อหยุดการแจ้งเตือน
• Number Matching MFA – การยืนยันตัวตนที่แสดงตัวเลขสุ่มบนหน้าจอเข้าสู่ระบบ แล้วให้ผู้ใช้พิมพ์ตัวเลขดังกล่าวลงในแอปยืนยันตัวตนบนมือถือเพื่อยืนยันความถูกต้อง
• FIDO2 / WebAuthn – มาตรฐานการยืนยันตัวตนแบบไร้รหัสผ่าน (Passwordless) ที่ใช้กุญแจความปลอดภัยแบบฟิสิคัล (Hardware Security Key) หรือลายนิ้วมือในการยืนยัน

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/mfa-prompt-bombing-why-your-second.html