Pengantar

Multi-Factor Authentication (MFA) telah menjadi standar keamanan modern dalam melindungi akun digital. Dengan menambahkan lapisan verifikasi selain password, MFA mampu menekan risiko pencurian akun secara signifikan. Namun, seiring meningkatnya penggunaan MFA, muncul teknik serangan baru yang memanfaatkan kelemahan perilaku manusia, yaitu MFA Fatigue.

MFA Fatigue merupakan metode serangan yang mengeksploitasi kelelahan atau ketidaksabaran pengguna terhadap notifikasi autentikasi berulang. Teknik ini semakin sering digunakan dalam serangan siber modern dan terbukti mampu menembus sistem keamanan organisasi besar.

Apa Itu MFA Fatigue?

MFA Fatigue adalah teknik rekayasa sosial (social engineering) di mana penyerang mengirimkan permintaan autentikasi MFA secara terus-menerus hingga korban akhirnya menyetujui permintaan tersebut, baik karena kelelahan, panik, maupun kebingungan.

Serangan ini juga dikenal sebagai Push Bombing Attack karena biasanya memanfaatkan sistem notifikasi push pada aplikasi autentikator. serangan berbasis manipulasi pengguna menjadi ancaman serius karena keamanan teknologi sering kali bergantung pada keputusan manusia.

baca juga : DLL Hijacking: Serangan Senyap yang Menyusup Lewat Celah Library Sistem

Bagaimana MFA Fatigue Bekerja?

Tahapan Serangan MFA Fatigue

1. Penyerang Mendapatkan Kredensial Awal

Biasanya penyerang sudah memiliki username dan password korban melalui phishing, kebocoran data, atau teknik credential stuffing.

2. Mengirim Permintaan MFA Berulang

Penyerang mencoba login berkali-kali sehingga sistem terus mengirim notifikasi MFA ke perangkat korban.

3. Manipulasi Psikologis Korban

Korban yang menerima notifikasi terus-menerus dapat merasa terganggu atau panik. Dalam beberapa kasus, penyerang bahkan menghubungi korban dengan menyamar sebagai tim IT.

4. Korban Menyetujui Permintaan

Ketika korban akhirnya menyetujui notifikasi MFA, penyerang langsung mendapatkan akses ke akun.

Mengapa MFA Fatigue Berbahaya?

Menyerang Faktor Manusia

MFA dirancang untuk meningkatkan keamanan, tetapi tetap bergantung pada keputusan pengguna. Serangan ini menargetkan kelemahan tersebut.

Sulit Dideteksi Sistem Keamanan

Permintaan autentikasi terlihat seperti aktivitas login normal sehingga sulit dibedakan dari aktivitas sah.

Memberikan Akses Langsung ke Sistem

Setelah MFA disetujui, penyerang dapat mengakses data sensitif, email perusahaan, hingga sistem internal.

Digunakan Dalam Serangan Target Tinggi

Banyak organisasi menjadi korban karena karyawan sering menerima notifikasi login dalam aktivitas kerja sehari-hari.

baca juga : Evil Maid Attack: Serangan Fisik Diam-Diam yang Bisa Mengambil Alih Perangkat Anda

Contoh Kasus Serangan MFA Fatigue

Serangan MFA Fatigue mulai banyak dilaporkan sejak meningkatnya penggunaan autentikasi berbasis push. Beberapa kelompok peretas diketahui menggunakan teknik ini untuk menargetkan perusahaan teknologi, lembaga keuangan, dan organisasi pemerintahan.

Dalam beberapa insiden, penyerang mengirim ratusan notifikasi autentikasi dalam waktu singkat hingga korban tanpa sadar menyetujuinya. Hal ini menunjukkan bahwa keamanan tidak hanya bergantung pada teknologi, tetapi juga kesadaran pengguna.

Cara Mencegah MFA Fatigue

Menggunakan Number Matching Authentication

Metode ini meminta pengguna mencocokkan angka yang muncul pada layar login dengan aplikasi autentikator sehingga lebih sulit dimanipulasi.

Membatasi Jumlah Permintaan MFA

Sistem dapat membatasi jumlah permintaan autentikasi dalam periode waktu tertentu.

Edukasi Kesadaran Keamanan Pengguna

Pengguna harus memahami bahwa permintaan MFA yang tidak dikenali merupakan indikasi potensi serangan.

Implementasi Risk-Based Authentication

Sistem dapat mendeteksi aktivitas login mencurigakan berdasarkan lokasi, perangkat, atau pola penggunaan.

Monitoring Aktivitas Login

Tim keamanan perlu memantau lonjakan permintaan autentikasi yang tidak normal.

baca juga : Memory Dumping: Teknik Ekstraksi Data Langsung dari Memori Sistem

Kesimpulan

MFA Fatigue membuktikan bahwa teknologi keamanan canggih tetap memiliki celah jika faktor manusia tidak diperhatikan. Serangan ini memanfaatkan kelelahan dan kebiasaan pengguna dalam merespons notifikasi autentikasi.

Dengan menggabungkan teknologi autentikasi yang lebih cerdas, pembatasan permintaan MFA, serta edukasi pengguna, organisasi dapat mengurangi risiko serangan MFA Fatigue. Kesadaran terhadap teknik serangan modern menjadi langkah penting dalam menjaga keamanan sistem digital di era transformasi teknologi.