Видел, что у нас в компании сделали так — если приходит запрос на сброс MFA, сотрудник сам перезванивает по номеру из внутреннего справочника, а не просто принимает звонок. Запрашивают дату рождения и внутренний ID, это реально помогает отсекать левые звонки. Правда, если звонок вне рабочего времени — просто блокируют, потом уже проверяют через заявку. Пока работает нормально, меньше проблем с социнженерией стало.