Multifaktor-Authentifizierung als Einfallstor bei neuer Social-Engineering-Methode

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Angreifer versenden Spam-Mails mit Aufforderungen zur Multifaktor-Authentifizierung (MFA), um Benutzer zu irritieren, damit sie die Anmeldung genehmigen, berichtet Ars Technica. Diese Technik wird sowohl von kriminellen als auch von staatlichen Akteuren eingesetzt. Forscher von Mandiant beobachteten, dass der russische, vom Staat gesponserte Akteur Cozy Bear wiederholte MFA-Aufforderungen startete, bis der Benutzer die Anfrage akzeptierte.

Ars Technica zitiert die Forscher von Mandiant mit den Worten: „Viele MFA-Anbieter ermöglichen es Benutzern, eine Push-Benachrichtigung einer Telefon-App zu akzeptieren oder einen Telefonanruf zu erhalten und eine Taste als zweiten Faktor zu drücken. Der [Nobelium]-Bedrohungsakteur nutzte dies aus und stellte mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptierte, was dem Bedrohungsakteur schließlich den Zugriff auf das Konto ermöglichte.“

Auch die kriminelle Hackergruppe Lapsus$ macht von dieser Methode Gebrauch. Ein Mitglied von Lapsus$ sagte auf dem Telegram-Kanal der Gruppe, dass die Technik spät in der Nacht besonders effektiv sei. „Es gibt keine Begrenzung für die Anzahl der Anrufe“, sagte die Person. „Rufen Sie den Mitarbeiter 100 Mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird höchstwahrscheinlich darauf eingehen. Sobald der Mitarbeiter den ersten Anruf annimmt, können Sie auf das MFA-Registrierungsportal zugreifen und ein weiteres Gerät registrieren.“

Ars Technica stellt fest, dass es mehrere Varianten dieses Ansatzes gibt.

  • Eine Reihe von MFA-Anfragen senden und hoffen, dass die Zielperson letztlich eine davon akzeptiert, damit sie wieder ihre Ruhe hat.
  • Eine oder zwei Aufforderungen pro Tag senden. Diese Methode erregt oft weniger Aufmerksamkeit, aber „es besteht immer noch eine gute Chance, dass die Zielperson die MFA-Anfrage akzeptiert“.
  • Die Zielperson anrufen, vorgeben, zum Unternehmen zu gehören, und ihr sagen, dass sie eine MFA-Anfrage als Teil eines Unternehmensprozesses senden muss.

„Die Verwendung von MFA ist viel sicherer als eine Kombination aus Benutzername und Passwort“, sagt Jelle Wieringa, Security Awareness Advocate bei KnowBe4. „Aber auch mit MFA können Nutzer immer noch Opfer von Phishing werden. Sie sollten stets auf der Hut vor Phishing sein und non-phishable MFA-Tools verwenden, wie beispielsweise einen FIDO2-Schlüssel.“

Darüber hinaus ist die effektivste Maßnahme zur proaktiven Verhinderung dieser Art von Angriffen, bei den Mitarbeitern das Sicherheitsbewusstsein zu stärken. Dafür kann die Durchführung von Security-Awareness-Training das Fundament bilden. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die internen Schulungen sollten regelmäßig wiederholt und die Ergebnisse auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.

#KnowBe4