Home » Fachbeiträge » Fachbeiträge » Wenn Hacker Benutzer mit MFA-Anfragen bombardieren

Wenn Hacker Benutzer mit MFA-Anfragen bombardieren

Beim MFA Prompt Bombing sendet der Angreifer in kurzer Zeit eine Vielzahl an MFA-Genehmigungsanfragen an einen Benutzer, in der Hoffnung, dass das Opfer durch die Anfragen so überfordert ist, dass es schließlich aufgibt und unwissentlich dem Angreifer Zugang gewährt.

4 Min. Lesezeit
©AdobeStock/jirsak

Best Practices gegen MFA-Prompt-Bombing-Attacken – MFA Prompt Bombing ist eine relativ einfache, aber effektive Angriffsmethode, die darauf abzielt, Zugang zu einem System oder einer Anwendung zu erhalten, die durch Multi-Faktor-Authentifizierung (MFA) geschützt ist. Unabhängig vom Grad der Belästigung durch MFA Prompt Bombing besteht das Ziel darin, dass der Benutzer die MFA-Anfrage akzeptiert und den Zugriff auf Konten gewährt oder eine Möglichkeit bietet, bösartigen Code auf einem Zielsystem auszuführen.

Beim MFA Prompt Bombing sendet der Angreifer in kurzer Zeit eine Vielzahl an MFA-Genehmigungsanfragen an einen Benutzer, in der Hoffnung, dass das Opfer durch die Anfragen so überfordert ist, dass es schließlich aufgibt und unwissentlich dem Angreifer Zugang gewährt. Für eine höhere Erfolgsquote wird der Angreifer den Benutzer in den meisten Fällen zu einem ungünstigen Zeitpunkt herausfordern, zum Beispiel spät in der Nacht. Die Sicherheitsbranche betrachtet MFA-Prompt-Bombing-Attacken als eine Form des Social Engineering. Dieser Angriffsvektor hat seine extreme Beliebtheit bei Angreifern erst in den letzten zwei Jahren gewonnen. Viele Benutzer und Sicherheitsteams sind sich dieser Angriffstechnik noch nicht ausreichend bewusst.

MFA Prompt Bombing in Aktion

Eine der bekanntesten erfolgreichen Angriffe mit MFA Prompt Bombing wurde von der Hackgruppe Lapsus$ durchgeführt. Deren Aktionen verdeutlichten die Schwächen bestimmter Einstellungen, unter anderem von Push-Benachrichtigungen. Bei ihren jüngsten erfolgreichen Angriffen bombardierte die Hackergruppe Benutzer mit Anfragen, bis die Opfer schließlich den Zugriff genehmigten. Zudem nutzte die Gruppe auch die Möglichkeit von MFA-Anbietern aus, bei der Mitarbeiter zur Authentifizierung einen Telefonanruf auf ein autorisiertes Gerät erhalten und als zweiten Faktor eine bestimmte Taste drücken.

Die Anweisung eines Mitglieds von Lapsus$ im gruppeninternen Telegram-Chat-Kanal verdeutlicht die dreiste Taktik der Cyberkriminellen: „Es gibt kein Limit bei der Zahl der Anrufe, die Ihr machen könnt. Ruft den Mitarbeiter 100-mal nachts um 1 an, wenn er versucht zu schlafen, dann wird er höchstwahrscheinlich akzeptieren. Sobald der Mitarbeiter den ersten Anruf annimmt, können Ihr auf das MFA-Registrierungsportal zugreifen und ein weiteres Gerät registrieren.“

Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit

Aufgrund der zunehmenden Bekanntheit von MFA-Prompt-Bombing-Angriffen haben einige Unternehmen beschlossen, Push-Benachrichtigungen für Authentifizierungsanfragen zu deaktivieren und stattdessen Einmal-Passwörter (One Time Passwords, OTP) durchzusetzen. Diese sollen Angreifern den Zugang zu sensiblen Informationen und Ressourcen erschweren, führt aber zu einem schlechteren Benutzererlebnis, da Benutzer zusätzliche Anmeldeinformationen angeben müssen, wie zum Beispiel einen per SMS gesendeten Zahlencode.

OTP mag zwar etwas sicherer sein als Push-Benachrichtigungen, aber es verschlechtert das Benutzererlebnis. Unternehmen sollten vorsichtig sein, um das richtige Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit zu finden.

Was Unternehmen gegen MFA-Prompt-Bombing-Angriffe tun können

Anstatt auf OTP umzusteigen, ist es empfehlenswerter, MFA-Push-Benachrichtigungen automatisch zu verweigern, wenn eine bestimmte Anzahl von Benachrichtigungen überschritten wird. So bekommt ein Endbenutzer bei einem Angriff nur einige wenige MFA-Benachrichtigungen, während das Sicherheitsteam im Hintergrund über die ganze Flut von MFA-Anfragen in den Aktivitätsprotokollen des Benutzers in Kenntnis gesetzt wird.

Wenn es darum geht, das richtige Maß an Sicherheit und Benutzerfreundlichkeit für den MFA-Schutz zu finden, sind Push-Benachrichtigungen immer noch die empfohlene Lösung. Sie müssen jedoch mit den richtigen Sicherheitsmaßnahmen implementiert werden.

Um für umfassenden Identitätsschutz zu sorgen, empfiehlt sich der Einsatz einer Plattform zum Schutz vor Identitätsbedrohungen, die speziell für die Echtzeit-Prävention, -Erkennung und -Reaktion auf identitätsbasierte Angriffe entwickelt wurde, welche kompromittierte Anmeldeinformationen für den Zugriff auf Zielressourcen missbrauchen. Solch eine Identity-Threat-Protection-Lösung verhindert identitätsbasierte Angriffe durch kontinuierliche Überwachung, Risikoanalyse und Echtzeit-Durchsetzung von Zero-Trust-Zugriffsrichtlinien für jeden Benutzer, jedes System und jede Umgebung vor Ort und in der Cloud. Dabei sorgt die Technologie für einen durchgängigen MFA-Schutz sowie eine kontinuierliche Überwachung aller Authentifizierungen On-Premises und in der Cloud.

Um sich dezidiert gegen MFA-Prompt-Bombing-Angriffe zu schützen, ermöglicht die Technologie eine adaptive Blockierung: Nach einer bestimmten Anzahl von abgelehnten MFA-Anfragen innerhalb eines kurzen Zeitraums wird der Benutzer nicht mehr gefragt und die Anfragen werden automatisch abgelehnt.

Weiterhin können risikobasierte Richtlinien erstellt werden, die abnormale MFA-Aktivitätsrisiken erkennen und verhindern, wie etwa wenn Nutzer eine ungewöhnliche Anzahl von Anfragen innerhalb eines kurzen Zeitraums erhalten. Hiermit stellen Administratoren sicher, dass der Zugriff nicht-autorisierter Benutzer auf Unternehmensressourcen blockiert wird.

Zudem ermöglichen diese Lösungen die automatische Identifizierung bösartiger Aktivitäten und Risiken aller Benutzerauthentifizierungsanfragen und liefern detaillierte Informationen zu jeder verweigerten MFA-Anfrage. Administratoren können alle Zugriffsanfragen mittels täglicher Reports überwachen oder indem sie Syslog-Events an ihr SIEM weiterleiten.

Social Engineering-Angriffe wie MFA Prompt Bombing versuchen gezielt, menschliche Schwächen auszunutzen. Deshalb sollte neben den technischen Sicherheitsvorkehrungen auch stets eine umfassende Aufklärung der Mitarbeiter erfolgen, damit sie auf diese Art Angriffe vorbereitet sind. Mit den genannten Maßnahmen können Unternehmen ihre Widerstandsfähigkeit gegen Prompt-Bombing-Angriffe stärken und erschweren es Angreifern deutlich, MFA-Schutz auszuhebeln.

 

 

 

Haiko Wolberink, Vice President of Sales EMEA, Silverfort

Andere interessante Fachbeiträge

Ritter in Rüstung

Der Weg zur kollektiven Cyberresilienz

Mit der Digitalisierung unserer Wirtschaft und Gesellschaft stehen Unternehmen weltweit vor der Herausforderung, ein komplexes Ökosystem aus Abhängigkeiten wie Internet of Things (...

Grafik Sichere Software

Mit DevSecOps zu sicherer Software

Traditionelle Sicherheitspraktiken sind in der modernen DevOps-Welt oft ineffizient. Denn Sicherheitsscans zu einem späten Zeitpunkt im Entwicklungszyklus bedeuten für die Entwickl...

Jusititia-Figur

NIS-2 und DORA: Wie haften betroffene Unternehmen?

Neue Anforderungen an die Cybersicherheit und -resilienz erfordern viel Umsetzungsaufwand bei betroffenen Unternehmen und Einrichtungen. Besonders das erwartete Inkrafttreten des N...