Co je number matching?

Vylepšení push 2FA: místo prostého Schválit tlačítka uživatel musí opsat 2-ciferný kód, který vidí na přihlašovací stránce. Útočník ho neví, takže schválení vyžaduje vědomou akci uživatele. Microsoft, Okta a další providers už toto mají.

Pomáhá hardware klíč proti MFA fatigue?

Ano, výrazně. Hardware klíč (YubiKey, Google Titan) vyžaduje fyzické dotknutí klíče při každém přihlášení. Útočník nemůže klíč omylem aktivovat ze vzdálené lokality. Pro nejcennější účty (e-mail admin, banka, krypto wallet) je to nejbezpečnější varianta.

MFA fatigue (2FA bombing) — co to je? Jak se chránit | Cislo.info · Cislo.info

MFA fatigue (česky únava 2FA nebo 2FA bombing) je útok, který zneužívá samotnou obranu 2FA proti uživateli. Útočník už nějak získal vaše heslo (z datového úniku, předchozího phishingu) a opakovaně se přihlašuje. Každý pokus pošle push notifikaci nebo SMS na váš telefon. Po 20., 50., 100. notifikaci v noci nebo ve schůzi unavený uživatel jeden Schválit omylem klepne — útočník je uvnitř. Nejvíce známý případ: útok na Uber 2022.

Jak to funguje

Útočník získá heslo (typicky z phishingu nebo datového úniku, kde uživatel použil stejné heslo na víc službách). Spustí skript, který každých pár vteřin zkouší přihlášení. Každý pokus generuje 2FA výzvu na uživatelův telefon. Útok kombinuje s sociálním inženýrstvím — útočník někdy paralelně volá oběti, představuje se jako IT podpora a říká klepněte na schválit, je to aktualizace. Řada uživatelů pod tlakem schválí, aby notifikace přestaly.

Jak to rozeznat

Dostáváte opakované 2FA notifikace, i když jste se sami nepřihlašovali.
Notifikace přicházejí v neobvyklých časech (uprostřed noci, brzy ráno).
Souběžně vás kontaktuje IT support s žádostí o schválení.
Notifikace ukazuje neznámou lokalitu (jiné město, jiná země).

Co dělat

NIKDY neschvalujte 2FA notifikaci, kterou jste sami nevyvolali — i když je jich 100.
Změňte si OKAMŽITĚ heslo z čistého zařízení — útočník už ho zná.
Zkontrolujte aktivní relace ve službě (Google → Security → Active sessions, podobně u Microsoftu, banky).
Pokud máte aplikační autentikátor (Google Authenticator), MFA fatigue nefunguje — neposílá push, jen generuje kódy.
Pro citlivé účty zvažte hardwarový klíč (YubiKey) — fyzický zámek, nelze přesvědčit notifikací.

České kontexty

Largescale MFA fatigue útok na české firmy zaznamenal NÚKIB poprvé v 2023, cíl byly především M365 účty zaměstnanců. Microsoft v reakci přidal funkci number matching — uživatel místo Schválit klepá konkrétní 2-ciferný kód, který mu zobrazil přihlašovací formulář. To MFA fatigue prakticky neutralizuje.

Aktuálně reportovaná nebezpečná čísla

Top čísla, na která lidé hlásí podvodné nebo otravné hovory. Pokud vám zazvonilo některé z nich, čtěte zkušenosti ostatních.

Časté otázky

Související pojmy

Dvoufaktorové ověřování (2FA)

Druhý ověřovací krok kromě hesla — typicky kód z SMS nebo aplikace. Zásadní obrana proti krádeži účtu.

Phishing

Obecný pojem pro podvod, kdy útočník vylákává citlivé údaje (hesla, čísla karet) pod falešnou identitou.

Vishing

Voice phishing — telefonní podvod, kdy útočník přes hovor vylákává citlivé údaje, hesla nebo peníze.

SIM swap

Krádež telefonního čísla. Útočník přesvědčí operátora, aby přenesl vaše číslo na jeho SIM kartu, a pak ovládá vaše SMS a 2FA kódy.

Hledáte další pojem? Otevřít celý slovník →

Jak to funguje

Co dělat

NIKDY neschvalujte 2FA notifikaci, kterou jste sami nevyvolali — i když je jich 100.

Změňte si OKAMŽITĚ heslo z čistého zařízení — útočník už ho zná.

Zkontrolujte aktivní relace ve službě (Google → Security → Active sessions, podobně u Microsoftu, banky).

Pokud máte aplikační autentikátor (Google Authenticator), MFA fatigue nefunguje — neposílá push, jen generuje kódy.

Pro citlivé účty zvažte hardwarový klíč (YubiKey) — fyzický zámek, nelze přesvědčit notifikací.

České kontexty