Mit MFA-Prompt-Bombing versuchen sich Angreifer Zugang zu einem durch Multi-Faktor-Authentifizierung (MFA) geschützten System zu verschaffen. Die Taktik besteht darin, innerhalb von kurzer Zeit zahlreiche MFA-Genehmigungsanfragen an einen Nutzer zu senden, so dass dieser von der Menge der Anfragen schlicht überwältigt wird. Die stetige Vorgabe, Authentifizierungscodes einzugeben oder zusätzliche Schritte zur Bestätigung der eigenen Identität zu unternehmen, kann bei Benutzern zu Frustration führen, was zur MFA-Fatigue führt. Dadurch können die Angreifer Sicherheitsmaßnahmen leichter umgehen oder deaktivieren. Das wiederum beeinträchtigt die Wirksamkeit der MFA und erhöht das Risiko von Sicherheitsverletzungen.
MFA-Prompt-Bombing ist eine spezifische Angriffsmethode, zu der einige Missverständnisse kursieren. Nevis Security hat die fünf gängigsten Mythen zusammengefasst und gibt Tipps, um solche Angriffe abzuwehren:
MFA ist immer sicher und nicht anfällig für Angriffe
Der Mythos, dass MFA immer sicher und nicht anfällig für Angriffe ist, basiert auf der falschen Vorstellung, dass die Verwendung von mehreren Authentifizierungsfaktoren automatisch eine undurchdringliche Barriere schafft. MFA kann die Sicherheit zwar tatsächlich erheblich steigern, da sie eine zusätzliche Schutzschicht über das herkömmliche Passwort hinaus bietet. Die Effektivität von MFA hängt jedoch stark von der korrekten Implementierung ab. Fehlende Rate-Limiting-Maßnahmen oder eine unzureichende Erkennung von Anomalien können MFA-Prompt-Bombing sogar begünstigen. Unternehmen sollten eine MFA daher nicht nur einführen, sondern auch sicherstellen, dass ihre Implementierung den aktuellen Bedrohungen standhält.
Nur schwache Authentifizierungsmethoden sind anfällig
Selbst bei der Verwendung von starken Authentifizierungsmethoden wie biometrischen Merkmalen oder Hardware-basierten Tokens kann MFA-Prompt-Bombing erfolgreich sein. Das ist der Fall, wenn es den Angreifern gelingt, den Nutzer mittels gefälschter Push-Nachrichten zu bombardieren. Durch eine Kombination von Social-Engineering, Phishing oder anderen Täuschungsmethoden schaffen sie es, den User dazu zu bringen, die gefälschten MFA-Prompts zu bearbeiten. Benutzer, die nicht ausreichend für die Bedrohung durch MFA-Prompt-Bombing sensibilisiert sind, neigen eher dazu, auf gefälschte Anfragen zu reagieren.
MFA-Prompt-Bombing erfordert fortgeschrittene Hackerkenntnisse
Crime-as-a-Service (CaaS) ermöglicht es auch weniger versierten Hackern, MFA-Prompt-Bombing zu nutzen. Die Verbreitung von Anleitungen und Tools im Darknet führt ebenfalls dazu, dass die Technik immer häufiger auch von „Hobbykriminellen“ eingesetzt wird. Unternehmen sollten in der Lage sein, ihre Sicherheitsmaßnahmen an unterschiedliche Bedrohungsniveaus anzupassen. Voraussetzung dafür ist unter anderem die Überwachung von verdächtigem Nutzerverhalten.
Einmaliger Schutz gegen MFA-Prompt-Bombing reicht aus
Die Angreifer entwickeln immer neue, raffiniertere Techniken, um die Sicherheitsmaßnahmen von Firmen zu überwinden. Was heute als wirksam gilt, kann morgen bereits veraltet sein. Ein statischer Schutz ist möglicherweise unzureichend, um mit der rasanten Entwicklung der Bedrohungen Schritt zu halten. Entscheidend ist eine proaktive Sicherheitsstrategie: regelmäßige Sicherheitsüberprüfungen, permanente Überwachungsmaßnahmen, die Aktualisierung von Sicherheitsprotokollen sowie die Implementierung von Technologien, die auf neue Bedrohungen reagieren können.
MFA-Prompt-Bombing betrifft nur große Unternehmen
Dem MFA-Prompt-Bombing können Unternehmen jeder Größe zum Opfer fallen. Kleinere Firmen sind möglicherweise weniger gut vorbereitet und somit besonders attraktiv für die Angreifer. Durch eine adaptive Authentifizierung lassen sich die Anforderungen an die Authentifizierung je nach Benutzerverhalten und Kontext dynamisch anpassen. Die Risikobewertung erfolgt anhand von Analysen des Benutzerverhaltens und des Kontexts und bestimmt das Risiko einer bestimmten Anmeldung. Ein niedriges Risiko führt zu einem nahtlosen Anmeldeprozess, während ein höheres Risiko zusätzliche Authentifizierungsschritte erfordert.
#NevisSecurity
