A MFA fatigue é uma tática de engenharia social em que criminosos enviam repetidos pedidos de autenticação para tentar levar o usuário a aprovar um acesso indevido por cansaço, distração ou pressa. O golpe mira sistemas de autenticação em dois ou mais fatores, conhecidos como 2FA ou MFA, e se aproveita do comportamento humano, não de uma falha técnica. Em reportagem publicada em 28 de março de 2026, o Canaltech explica que esse tipo de ataque ganhou relevância porque os códigos e aprovações de login funcionam como a última barreira entre o invasor e a conta da vítima.
No Brasil, a tática tem impacto direto porque aplicativos de bancos, carteiras digitais, e-mails, redes sociais e mensageiros já adotam autenticação em duas etapas como medida de proteção. Quando esse segundo fator é aprovado por engano ou compartilhado com golpistas, o risco deixa de ser apenas técnico e pode atingir finanças, dados pessoais e perfis usados no dia a dia.
Na prática, o usuário recebe várias notificações no celular pedindo autorização de acesso. Em meio à rotina, pode acabar aceitando uma delas sem perceber que se trata de uma tentativa fraudulenta. Segundo o texto original, a lógica do golpe é explorar o excesso de solicitações até que uma seja aprovada por engano.
O que é MFA fatigue e como esse golpe acontece?
O termo descreve a exploração do cansaço causado por notificações de autenticação. Em vez de tentar quebrar a tecnologia de proteção, os golpistas insistem no envio de pedidos de acesso até que a vítima, cansada ou confusa, autorize a entrada indevida. Esse bombardeio de solicitações é uma das formas mais citadas desse ataque.
O texto também informa que os criminosos podem combinar essa pressão com outras abordagens, como mensagens falsas de suporte, ligações em que fingem representar a empresa e páginas de login falsas. Nesses cenários, o objetivo continua o mesmo: convencer a pessoa a entregar um código ou aprovar um acesso que não deveria ocorrer.
Por que os códigos de 2FA e MFA são tão visados?
Códigos e aprovações de autenticação valem muito para os criminosos porque representam uma camada extra de segurança. Mesmo quando a senha já foi roubada, essa etapa adicional ainda pode impedir a invasão. Por isso, o ataque busca justamente contornar essa barreira final.
De acordo com a reportagem, muitas ações de MFA fatigue fazem parte de uma cadeia maior de ataque. Primeiro, os invasores obtêm login e senha, por exemplo por meio de phishing. Depois, passam a pressionar a vítima com pedidos de autenticação ou tentam obter o código diretamente. Assim, dados previamente roubados são usados para aumentar a chance de sucesso da fraude.
No contexto brasileiro, esse tipo de golpe também se encaixa em fraudes digitais mais amplas que tentam capturar credenciais de acesso para serviços financeiros e plataformas amplamente usadas pela população. Isso ajuda a explicar por que notificações inesperadas, códigos temporários e contatos de suposto suporte exigem atenção redobrada.
Por que esse golpe funciona mesmo com boa tecnologia?
O ponto central é que a segurança não depende apenas da ferramenta, mas também da reação do usuário. O texto destaca que cansaço, pressa e falta de desconfiança podem levar alguém a aprovar solicitações indevidas ou a compartilhar códigos sem avaliar o risco. Em outras palavras, a tecnologia pode ser robusta, mas ainda assim ser contornada por manipulação comportamental.
A reportagem ressalta que isso não significa que a autenticação em dois ou mais fatores deva ser abandonada. Pelo contrário: ela continua essencial. A recomendação é combiná-la com outras medidas que reduzam a chance de abuso e reforcem a proteção da conta.
- Uso de passkeys
- Chaves físicas de autenticação
- Biometria
- Limites de tentativas de login
- Atenção redobrada a contatos e notificações inesperadas
Como se proteger de tentativas de MFA fatigue?
Segundo o conteúdo, o primeiro sinal de alerta é receber uma notificação inesperada de login ou várias delas ao mesmo tempo sem ter tentado acessar o serviço. Nessa situação, a orientação é não clicar na solicitação e trocar imediatamente a senha da conta envolvida. Também é recomendável revisar os dispositivos conectados e ativar métodos adicionais de verificação, quando houver essa possibilidade.
Outra orientação é desconfiar de contatos de suposto suporte que apareçam sem necessidade, alegando um problema urgente. O texto é taxativo ao afirmar que o código de autenticação não deve ser compartilhado com ninguém. Empresas não precisam desse código para realizar ações em nome do usuário. Se ele for solicitado por mensagem, ligação ou atendimento inesperado, o cenário deve ser tratado como suspeito.
Em resumo, a MFA fatigue é um golpe que transforma a própria rotina digital da vítima em brecha de segurança. A proteção continua passando pelo uso da autenticação em múltiplos fatores, mas depende também de atenção, contexto e desconfiança diante de pedidos inesperados.
