多因素认证请求生成

对手可能会尝试通过生成发送给用户的多因素认证（MFA）请求来绕过MFA机制并访问账户。 对手如果拥有有效账户的凭证，但缺乏访问所需的2FA或MFA机制，可能无法完成登录过程。为了规避这一点，对手可能会滥用自动生成的推送通知到MFA服务，如Duo Push、Microsoft Authenticator、Okta或类似服务，以让用户授予对其账户的访问权限。如果对手缺乏受害者账户的凭证，他们也可能在配置为自助密码重置（SSPR）时滥用自动推送通知生成。(引用: Obsidian SSPR Abuse 2023) 在某些情况下，对手可能会不断重复登录尝试，以轰炸用户MFA推送通知、短信和电话，最终导致用户在“MFA疲劳”响应中接受认证请求。(引用: Russian 2FA Push Annoyance - Cimpanu)(引用: MFA Fatigue Attacks - PortSwigger)(引用: Suspected Russian Activity Targeting Government and Business Entities Around the Globe)