«Push Bombing» или «Бомбардировка Push-уведомлениями» — это метод атаки, который может использоваться злоумышленниками для обхода многофакторной аутентификации (MFA).
Push Bombing применяется в тех случаях, когда у хакеров уже есть учётные данные жертвы, но на их пути всё ещё стоит MFA. Мошенники инициируют многократные попытки входа в аккаунт потенциальной жертвы, из-за чего на её устройство прилетает десятки уведомлений о попытке входа.
Если многофакторная аутентификация в конкретный сервис реализована простым нажатием кнопки «Да, это я», потенциальная жертва в потоке уведомлений может нажать эту кнопку случайно или специально, чтобы остановить бесконечные уведомления, что сразу же даст мошенникам необходимый доступ.
Если MFA настроена на одноразовый пароль, такой тип атаки может вынудить технически неподкованного пользователя отключить многофакторную аутентификацию, чтобы остановить поток уведомлений, но это тоже прямой путь подарить свой аккаунт злоумышленникам.
Самый простой и быстрый способ остановить Push Bombing — банально сменить пароль от аккаунта, причём на более надёжный, чем стоял ранее.