Säkerhet & Felsökning

Oväntade OTP-meddelanden

Orsaker, MFA-trötthetsattacker och hur du stoppar dem

⚠️

Får OTP:er men använder inte Mideye?

Om du inte är användare av Mideye men får engångslösenordsmeddelanden, är den mest troliga orsaken att ditt telefonnummer har angetts av misstag i en organisations användarkatalog – till exempel en felstavning i Active Directory – eller att du har övertagit numret från en tidigare mobilabonnent som använde Mideye.

Kontakta helpdesk@mideye.com med ditt telefonnummer i internationellt format (t.ex. +46701234567) så spärrar vi OTP-leverans till ditt nummer. [p (inline HTML)]

Denna sida är för Mideye-kunder och deras användare. Varje Mideye OTP utlöses av en autentiseringsförfrågan till en Mideye Server. Om du får engångslösenord du inte förväntat dig, genereras inloggningsförsök — antingen från dina egna system eller från en extern angripare. [p (inline HTML)]

MFA-trötthet och OTP-bombningsattacker

Ett växande attackmönster kallat MFA-trötthet (även känt som OTP-bombning eller push-trötthet) riktar sig mot användare med en ström av autentiseringsuppmaningar. Angriparen har redan användarens lösenord — erhållet genom nätfiske, credential stuffing eller ett dataintrång — och utlöser upprepade inloggningsförsök för att överväldiga användaren att godkänna ett av misstag eller ange OTP:n av frustration. [p (inline HTML)]

Tecken på en MFA-trötthetsattack:

  • En plötslig ström av OTP:er eller push-inteifikationer som du inte har initierat
  • OTP:er som anländer vid ovanliga tidpunkter – sent på natten eller under helgen
  • Flera OTP:er i snabb följd, snabbare än någon normal inloggningsprocess

Gör så här omedelbart: Ange inte OTP:n eller godkänn någon push-inteifikation. Byt lösenord direkt och meddela din IT-administratör. Angriparen har redan ditt nuvarande lösenord. [p (inline HTML)]

🛡️

Mideye Shield stoppar MFA-trötthetsattacker automatiskt

Mideye Shield detects and blocks credential stuffing, password spray, and MFA-trötthet attacks before the OTP is even sent. It works through delad hotinformation — when an IP address is identified as malicious at one Mideye deployment, it is automatically blocked across all participating servers.

Shield utvärderar varje autentiseringsförfrågan i realtid med hjälp av riskbedömning. Förfrågningar från kända attackkällor nekas eller ignoreras tyst – användaren får aldrig en OTP och angriparen får inget svar.

Available in Mideye Server 6.5.12 and later. Läs mer om Mideye Shield →

Andra vanliga orsaker

Inte varje oväntad OTP är en attack. Här är de vanligaste ofarliga orsakerna:

1. Upprepade eller fastnade inloggningsförsök

Den vanligaste orsaken till en ström av OTP:er är en inloggningsklient eller webbsida som skickar flera autentiseringsförfrågningar i snabb följd. Detta kan hända när:

  • En VPN-klient hamnar i en återanslutningsloop – till exempel efter ett nätverksavbrott – och fortsätter att försöka logga in automatiskt.
  • En inloggningssida eller dialog låser sig eller blir okänslig, och användaren (eller en tangentbordsinställning för automatisk upprepning) gör att inloggningsåtgärden skickas upprepade gånger.
  • En obevakad arbetsstation skickar inloggningsförfrågningar – något så enkelt som ett föremål som ligger på Enter-tangenten över en helg kan generera ett stort antal OTP:er.

Gör så här: Stäng eller starta om VPN-klienten eller webbläsarsessionen som genererar förfrågningarna. Om du är osäker på vilken applikation som orsakar det, försök stänga alla inloggningsklienter och starta om din dator. Om problemet kvarstår, kontakta din IT-administratör för att kontrollera inloggningsloggarna. [p (inline HTML)]

2. Mobilnätverk som levererar gamla meddelanden igen

Tillfälliga problem i mobilnätverket kan göra att ett SMS levereras mer än en gång, eller att en gammal OTP skickas igen vid ett senare tillfälle. Detta har inga säkerhetsmässiga konsekvenser – Mideye OTP:er har en begränsad livslängd (vanligtvis 60 sekunder) och kan inte återanvändas.

Gör så här: Du kan säkert ignorera dubblettmeddelanden. Om det händer ofta kan en omstart av telefonen hjälpa till att rensa eventuella cachade meddelanden. Se också Android spöksms OTP för ett relaterat problem som är specifikt för vissa Android-versioner.

3. Android-cachade flash/pop-up-SMS

På vissa Android-versioner kan OTP:er som visas som flash- (pop-up-) meddelanden cachas i operativsystemet och dyka upp igen senare vid till synes slumpmässiga tidpunkter – ibland timmar eller dagar efter den ursprungliga inloggningen.

Gör så här: Se vår dedikerade guide om Android spöksms OTP för detaljer och en lösning.

Är detta en säkerhetsrisk?

Ett enstaka oväntat OTP är vanligtvis ofarligt — det upphör att gälla inom några sekunder och kan inte återanvändas. Men en ström av oombedda OTP:er är ett varningstecken på att någon redan kan ha ditt lösenord och aktivt försöker autentisera sig. Om detta händer: [p (inline HTML)]

  1. Ange inte OTP:n eller godkänn någon push-inteifikation
  2. Byt lösenord omedelbart
  3. Kontakta din IT-administratör

For administrators: Mideye Shield can detect and block these attack patterns automatically. The shared intelligence network means attacks identified at other deployments are blocked at yours before they even start.

Bra att veta

Hur vet jag vilken applikation som skickar inloggningsförfrågningarna? [summary (inline HTML)]

Din IT-administratör kan kontrollera Mideye Server-loggarna för att se vilken tjänst (RADIUS-klient, webbapplikation etc.) som genererar autentiseringsförfrågningarna för ditt konto. Detta brukar snabbt peka ut källan.

Jag får OTP:er på natten eller under helgen när jag inte arbetar [summary (inline HTML)]

This could be a VPN client on a powered-on workstation retrying connections in the background — or it could be an attacker probing your account during off-hours. Ask your IT administrator to check the Mideye logs for the source IP and RADIUS client. If the IP is unfamiliar, it may be an attack. Mideye Shield blocks these automatically.

Jag är inte en Mideye-användare — varför får jag dessa meddelanden? [summary (inline HTML)]

Om meddelandet inte uttryckligen säger "Mideye" är det inte från oss. Många autentiseringstjänster skickar OTP:er via SMS. Kontrollera avsändarnamnet eller kortkoden. Om det står Mideye kan ditt telefonnummer ha registrerats av misstag (t.ex. ärvt från en tidigare abonnent). Kontakta helpdesk@mideye.com med ditt telefonnummer i internationellt format så spärrar vi ytterligare leverans. [p (inline HTML)]

Vad är MFA-trötthet och hur fungerar det? [summary (inline HTML)]

MFA-trötthet (also called OTP bombing or push fatigue) is a social engineering attack where an attacker who has stolen your password floods you with authentication prompts, hoping you'll approve one by mistake or enter the OTP to make the inteifications stop. High-profile breaches at companies like Uber (2022) used this exact technique. Mideye Shield prevents this by blocking the authentication requests at the server level before any OTP is sent.

Hur skyddar Mideye Shield mot dessa attacker? [summary (inline HTML)]

Mideye Shield evaluates every incoming authentication request against a delad hotinformation network. IP addresses associated with credential stuffing, brute force, or MFA-trötthet attacks are automatically blocked. Because all participating Mideye deployments share intelligence, an attack detected at one customer protects everyone. Static filter rules can also reject requests based on username patterns or source IPs. Läs mer →