MFA Fatigue: Ataque de Engenharia Social Bombardeia Usuários com Notificações para Roubar Códigos de Autenticação

A segurança digital enfrenta uma nova ameaça que explora o cançado humano, não uma falha tecnológica. A tática, conhecida como 'MFA fatigue' ou '2FA fatigue', consiste em bombardear o celular de uma vítima com dezenas de notificações de autenticação em sequência. O objetivo é induzir o usuário, em um momento de distração ou irritação, a aprovar acidentalmente um acesso fraudulento. Esse método de engenharia social transforma um mecanismo de proteção – a autenticação multifator – em um vetor de ataque, aproveitando-se da fadiga gerada pela rotina de autorizações.

O ataque funciona porque explora um comportamento previsível: a tendência de se responder rapidamente a notificações persistentes, especialmente em ambientes ocupados. Os criminosos disparam uma enxurrada de solicitações de login, muitas vezes fora do horário comum de acesso, para aumentar a pressão. Mesmo um usuário consciente do risco pode, em um clique apressado, conceder acesso à sua conta. O valor do código ou da aprovação de 2FA para os golpistas é imenso, pois representa a chave final que supera a última barreira de segurança de contas bancárias, e-mails corporativos e redes sociais.

A eficácia desta campanha coloca sob pressão tanto os indivíduos quanto as políticas de segurança das organizações. Ela sinaliza uma mudança no cenário de ameaças, onde a engenharia social se sofistica para contornar defesas técnicas robustas. A proteção agora depende criticamente da vigilância comportamental do usuário final, exigindo treinamento para reconhecer e ignorar essas investidas. A recomendação de ativar a autenticação multifator permanece vital, mas deve vir acompanhada do alerta sobre esta nova modalidade de ataque que visa a exaustão do próprio usuário.