MFA Bir Duvar Değildir: Yorgunluk Bombardımanı ve AiTM 2026'da 2FA'yı Nasıl Atlatır
Çok faktörlü kimlik doğrulama, kimlik güvenliğinin bitiş çizgisi olarak ele alınır. 2026'da MFA yorgunluk bombardımanı ve Adversary-in-the-Middle oturum çerezi hırsızlığı bu varsayımı ters yüz eder. Atlatmalar nasıl çalışır ve ne savunur, işte burada.
"MFA'yı etkinleştir, işin bitti." Bu cümle neredeyse on yıldır güvenlik farkındalık eğitimlerinin kapanış cümlesi oldu. 2026'da bu, bir güvenlik programının inanabileceği en tehlikeli şeylerden biri. Çok faktörlü kimlik doğrulama bir kontroldür, bir sonuç değil. İki özel teknik - MFA yorgunluk bombardımanı ve Adversary-in-the-Middle (AiTM) oturum hırsızlığı - kararlı bir saldırganı MFA tek başına artık durduramayacak kadar olgunlaştı. İkinci kriptografik faktörü kırarlar. Onun etrafından dolaşırlar.
Her ekibin anlaması gereken iki atlatma
Bunlar teorik değildir. Her ikisi de 2025 boyunca ve 2026'da olay müdahalesi çalışmalarında düzenli olarak görülür ve her ikisi de tek kimlik kontrolü bir parola üzerine MFA olan kuruluşları yener.
MFA yorgunluk bombardımanı (push-bombing)
Modern MFA ezici şekilde push tabanlıdır. Kullanıcı bir parolayla kimliğini doğrular, kimlik sağlayıcı kayıtlı bir cihaza push bildirimi gönderir ve kullanıcı onaylar. Güvenlik modeli, onayın bilinçli, dikkatli bir eylem olduğunu varsayar.
Yorgunluk bombardımanı bu varsayımı paramparça eder. Saldırganın parolası vardır (bir stealer logundan satın alınmış, bir ihlalde sızdırılmış veya oltalanmış) ve mağduru onay istekleriyle boğar - arka arkaya onlarca veya yüzlerce, çoğunlukla gece 3'te. Uykulu ve sinirli kullanıcılar, zilin durması için "Onayla"ya dokunur. Onay gerçektir. Kimlik doğrulama başarılıdır. İkinci faktör teknik olarak oradadır.
Bunu 2026'da etkili kılan, sayı eşleştirme atlatması ve bildirim yorgunluğunun birleşimidir. Erken savunmalar sayı eşleştirme istemleri ekledi ("yalnızca 4823 görüyorsan onayla"), ama phishing proxy'leri üzerinden gerçek zamanlı çalışan saldırganlar, eşleşen sayıyı klonlanmış giriş akışlarının bir parçası olarak kullanıcıya sunabilir; istemin sağlaması gereken korumayı ortadan kaldırır.
Adversary-in-the-Middle (AiTM) oturum hırsızlığı
AiTM, daha sinsi atlatmadır çünkü phishing'e dayanıklı olduğu varsayılan MFA yöntemlerini bile yener.
Saldırgan, yalnızca kimlik bilgileri toplamayan - onları gerçek zamanlı olarak meşru kimlik sağlayıcısına ileten - bir phishing sayfası kurar. Kullanıcı parolasını yazdığında, iletilir ve gerçek girişe girilir. Sağlayıcı MFA meydan okuması çıkardığında, saldırgan onu kullanıcıya iletir. Kullanıcı MFA'yı tamamladığında, saldırgan onu yeniden oynatır. Meşru hizmet satisfied olur ve çok önemli olarak bir oturum çerezi geri verir. O çerez proxy tarafından - kullanıcının tarayıcısı tarafından değil - yakalanır ve o andan itibaren saldırganın bir daha parola veya ikinci faktöre ihtiyaç duymayan authenticated bir oturumu olur.
Kimlik bilgisi ve ikinci faktör ikisi de kullanıldı. Sadece saldırgan tarafından, kullanıcı aracılığıyla, gerçek hizmete karşı kullanıldılar. MFA "çalıştı." Hesap yine de compromised.
Geleneksel savunmalar bu saldırıları neden kaçırır
Bu atlatmalar ölçekli başarılı çünkü en yaygın kimlik korumaları onlar için tasarlanmadı.
E-posta filtreleri relay'i görmez
AiTM kitleri çoğunlukla sıradan Microsoft 365 veya Okta giriş URL'leri gibi görünen phishing linkleri olarak dağıtılır. Teslim anında linki tarayan güvenli bir e-posta ağ geçidi yeni kaydedilmiş bir alan adı görür ve yapılandırmaya bağlı olarak ya engeller (olduğunda yardımcı) ya da henüz sınıflandırılmadığı için geçirir. Birçok AiTM kiti alan adlarını saatlik döndürür, dolayısıyla "bilinmiyor" dönen bir itibar kontrolü "güvenli"ye eşdeğer değildir.
MFA onayının kendisi meşru görünür
Yorgunluk bombardımanı için bir kimlik sağlayıcının logladığı her sinyal kimlik doğrulamanın meşru olduğunu söyler. Doğru parola. Doğru cihaz. Bir onay olayı. Tek anomali - onay isteklerinin bir patlaması - öntanımlı olarak nadiren uyarılır. Ekipler compromisationi saatler veya günler sonra, saldırgan yönlendirme kuralları oluşturmaya veya veri dışa aktarmaya başladığında keşfeder.
EDR tehdit yüzü değildir
Uç nokta tespiti cihaza odaklanır. AiTM ve yorgunluk saldırıları bir kimliği compromised eder, bir dizüstü bilgisayarı değil. Saldırgan bilinmeyen bir IP'den, bilinmeyen bir coğrafyadan, çoğu zaman bilinmeyen bir tarayıcıdan geçerli bir oturum kullanır. Cihaz tabanlı kontrollerin tutacağı hiçbir şey yoktur.
MFA atlatmalarına gerçekten ne savunur
İki saldırıyı da nötralize eden tek bir ayar yoktur. Etkili savunma katmalıdır ve her katman parola-artı-MFA'nın spesifik bir başarısızlık modunu ele alır.
Phishing'e dayanıklı MFA iste
Tüm ikinci faktörler eşit değildir. Push onayları, SMS ile teslim edilen OTP kodları ve ekranda gösterilen zaman tabanlı kodların hepsi iletilebilir veya yeniden oynatılabilir. Phishing'e dayanıklı yöntemler - FIDO2 güvenlik anahtarları, donanımsal passkey'ler, cihaza bağlı kimlik bilgileri - kimlik doğrulamayı kriptografik olarak meşru kaynağa bağlar. Bir AiTM proxy'si bir FIDO2 assertion'ını iletemez çünkü authenticator onu tanımadığı bir alan adı için imzalamayı reddeder. Bu en etkili kontroldür ama benimseme, kullanıcı deneyimine ve cihaz envanterine dokunduğu için geriden gelir.
Yorgunluk örüntüsünü tespit et
Henüz değiştiremediğin push tabanlı MFA için patlama davranışını tespit et: bir pencerede N'den fazla onay, hızlı redlerin ardından gelen bir onay, alışılmadık saatlerde onaylar veya kimlik bilgisi sızıntı göstergesi ardından onaylar. Bu sinyaller kimlik loglarında zaten mevcut. Onlara uyarı vermek başarılı bir compromisationı yakalanan birine dönüştürür.
Tarayıcıda landing sayfasını engelle
AiTM mağdurun proxy'yi yüklemesini gerektirir. Tarayıcı sayfayı yüklemeyi reddederse, relay hiç başlamaz. İşte burada tarayıcı-doğal, gerçek zamanlı sayfa analizi önemli hale gelir: marka taklidini tespit etmek, kimlik bilgi toplama akışlarını tanımak ve kullanıcı bir şey yazmadan önce hedefi engellemek. PhiShark Tarayıcı Uzantısı yükleme anında tam olarak bunu yapar.
Oturum çerezlerini gerçek çevre olarak ele al
Kimlik bilgisi ve ikinci faktörün ikisi de iletilebilirse, oturum çerezi gerçek sınırdır. Oturumları izle, oturum kaynağına koşullu erişim uygula ve yüksek riskli bağlamlarda oturum ömrünü kısalt. Çalınan bir çerez, ömür kısaysa ve erişim politikası kaynağı yeniden değerlendiriyorsa, dakikalar içinde kendini geçersiz kılar.
Kanıtla sinyaller arası ilişkilendir
Gece 3'te tek bir MFA onayı gürültü olabilir. Aynı onayın bir saat sonra yeni bir ülkeden bir giriş izlemesi ve ardından posta kutusu kuralı oluşturması, tam bir saldırı zinciridir. Sinyalleri ilişkilendiren ve akıl yürtmeyi açıklayan agentive AI, ham telemetriyi savunulabilir bir karara çeviren şeydir. Bu tam olarak PhiShark AIPA'ın olay akışlarındaki rolüdür - yalnızca uyarıyı değil arkasındaki kanıtı yüzeye çıkarır.
Bu güvenlik ekipleri için ne anlama geliyor
Eğer MFA kimlik savunmasının son hattıysa, MFA atlatma kimliğin güvenli olup olmadığının son sözüdür. 2026'da çizgiyi tutan ekipler, MFA'yı bitiş çizgisi olarak görmeyi bırakanlardır.
- MFA bir kontroldür, bir sonuç değil. Soru, ikinci faktörünün phishing'e dayanıklı olup olmadığıdır.
- Push onaylar yumuşak hedeftir. Yorgunluk örüntüsü tespiti ve sayı eşleştirme bütünlüğü olmadan, push yalnızca rahatsızlıkla atlatılabilir.
- AiTM oturumu çalar, parolayı değil. Kimlik çevresi kimlik bilgilerinden oturumlara kayar; buna göre koruyun ve izleyin.
- Tarayıcı relay'e kapıdır. Kullanıcı yazmadan önce proxy'yi engelle ve AiTM zinciri hiç başlamaz.
- Kanıt temelli ilişkilendirme izole uyarıları yener. Gece 3'te onay hiçbir şeydir; gece 3'te onay artı çerez yeniden oynatma artı yeni coğrafya bir saldırıdır.
MFA başarısız olmadı. Yeterli olduğu varsayımı başarısız oldu.
İkinci faktör hâlâ tasarlandığı şeyi yapıyor. 2026'da değişen, saldırganların kriptografiyi yenmeyi bırakıp etraftaki insanı ve relay'i yenmeye başlamasıydı. Çözüm daha iyi bir parola değildir. Phishing'e dayanıklı kimlik doğrulama, oturum farkında izleme ve onay toplamak için tasarlanmış sayfaların tarayıcı düzeyinde engellenmesidir.
PhiShark'ın AiTM ve yorgunluk bombardımanı boşluklarını nasıl kapattığını görün - platformu keşfedin ve kanıt temelli, tarayıcı-doğal phishing savunmasını kimlik çevrenizin gerçekten yaşadığı yere koyun.
Daha derine mi inmek istiyorsunuz? Phishing savunma analizleri için blogumuzu gezin veya temel phishing ve siber güvenlik terimlerinin tanımları için sözlüğü ziyaret edin.