MFA Prompt Bombing

Wenn Hacker Benutzer mit MFA-Anfragen bombardieren

12. August 2022, 12:00 Uhr | Haiko Wolberink/am
LANline-Cartoon Security
© Wolfgang Traub

MFA Prompt Bombing ist eine einfache, aber effektive Angriffsmethode, die darauf abzielt, Zugang zu einem System oder einer Anwendung zu erhalten, die durch Multi-Faktor-Authentifizierung (MFA) geschützt ist. Der Angreifer sendet dabei in kurzer Zeit eine Vielzahl an MFA-Genehmigungsanfragen an einen Benutzer, in der Hoffnung, dass das Opfer durch die Anfragen so überfordert ist, dass es schließlich aufgibt und unwissentlich dem Angreifer Zugang gewährt.

Unabhängig vom Grad der Belästigung durch MFA Prompt Bombing besteht das Ziel darin, dass der Benutzer die MFA-Anfrage akzeptiert und den Zugriff auf Konten gewährt oder eine Möglichkeit bietet, bösartigen Code auf einem Zielsystem auszuführen. Die Sicherheitsbranche betrachtet MFA-Prompt-Bombing-Attacken als eine Form des Social Engineerings. Dieser bekannter Angriffsvektor hat seine Beliebtheit bei Angreifern erst in den letzten zwei Jahren gewonnen, und doch sind sich viele Benutzer und Sicherheitsteams dieser Angriffstechnik noch nicht bewusst.

Eine der bekanntesten erfolgreichen Angriffe mit MFA Prompt Bombing hat die Hackgruppe Lapsus$ durchgeführt. Deren Aktionen verdeutlichten die Schwächen bestimmter Einstellungen, unter anderem von Push-Benachrichtigungen. Bei ihren jüngsten Angriffen bombardierte die Hackergruppe Benutzer mit Anfragen, bis die Opfer schließlich den Zugriff genehmigten. Zudem nutzte die Gruppe auch die Möglichkeit von MFA-Anbietern aus, bei der Mitarbeiter zur Authentifizierung einen Telefonanruf auf ein autorisiertes Gerät erhalten und als zweiten Faktor eine bestimmte Taste drücken.

Aufgrund der zunehmenden Bekanntheit von MFA-Prompt-Bombing-Angriffen haben einige Unternehmen beschlossen, Push-Benachrichtigungen für Authentifizierungsanfragen zu deaktivieren und stattdessen Einmal-Passwörter (One Time Passwords, OTP) durchzusetzen. Diese sollen Angreifern den Zugang zu sensiblen Informationen und Ressourcen erschweren, führt aber zu einem schlechteren Benutzererlebnis, da Benutzer zusätzliche Anmeldeinformationen angeben müssen, wie zum Beispiel einen per SMS gesendeten Zahlencode.

OTP mag zwar etwas sicherer sein als Push-Benachrichtigungen, aber es verschlechtert das Benutzererlebnis. Unternehmen sollten vorsichtig sein, um das richtige Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit zu finden.

Anbieter zum Thema

zu Matchmaker+

  1. Wenn Hacker Benutzer mit MFA-Anfragen bombardieren
  2. Wie sich Unternehmen wehren können

Verwandte Artikel

Silverfort

IT-Security

MFA