Hacker verwenden immer häufiger Social-Engineering-Angriffe, um Zugang zu Unternehmensdaten zu erhalten und Netzwerke zu durchbrechen. Dafür verwenden sie häufig gestohlene Anmeldeinformationen von Mitarbeiterinnen und Mitarbeitern, um zum Beispiel auf VPNs und das interne Netzwerk zuzugreifen. Eine dieser Angriffsmethoden ist „MFA-Fatigue“, die mit zunehmender Verwendung der Multi-Faktor-Authentifizierung (MFA) immer beliebter wird.
Für Angreifer ist nicht besonders schwierig an Anmeldeinformationen von Unternehmen zu gelangen. Mit Hilfe von Phishing-Angriffen, Malware, durchgesickerte Anmeldeinformationen aus Datenschutzverletzungen oder den Kauf von Anmeldedaten aus dem Dark-Web, erhalten Hacker die gewünschten Informationen.
Um dem entgegenzuwirken, setzen Unternehmen zunehmend auf die Multi-Faktor-Authentifizierung. Benutzer sollen durch die die Multi-Faktor-Authentifizierung daran gehindert werden, sich bei einem Netzwerk anzumelden, ohne zuvor eine zusätzliche Form der Authentifizierung/Verifizierung eingegeben zu haben.
Bei diesen zusätzlichen Informationen kann es sich um einen einmaligen Nummern-Code, Fingerabdruck, Iris-Scan, Stimmenabgleich, eine Aufforderung zur Bestätigung des Anmeldeversuchs oder die Verwendung von Hardware-Sicherheitsschlüsseln handeln.
Derzeit wird die Social-Engineering-Technik „MFA-Fatigue“, auch bekannt als „MFA-Push-Spam“, bei Angreifern immer beliebter. „MFA-Fatigue“ (Fatigue, engl./franz.; bedeutet soviel wie Müdigkeit, Ermüdung, Abgespanntheit, Erschöpfung) ist sehr effizient, denn es ist dafür weder Malware noch eine Phishing-Infrastruktur erforderlich.
Was ist „MFA-Fatigue“?
Wenn die mehrstufige Authentifizierung in einem Unternehmen oder einer Organisation für die Verwendung von „Push“-Benachrichtigungen konfiguriert ist, erhalten Mitarbeiterinnen und Mitarbeiter eine Eingabeaufforderung auf ihren Mobilgeräten, wenn jemand versucht, sich mit seinen Anmeldeinformationen anzumelden. Mit MFA-Push-Benachrichtigungen werden Benutzer dazu aufgefordert legitime Anmeldeversuche zu bestätigen.
Bei einem MFA-Fatigue-Angriff führt ein Hacker ein Skript aus, das immer wieder versucht, sich mit den gestohlenen Anmeldeinformationen anzumelden. Somit werden unendlich viele MFA-Push-Benachrichtigungen an das mobile Gerät des Kontoinhabers gesendet.
Bloß nicht müde werden!
Das Ziel eines MFA-Fatigue-Angriffs ist, das endlose Senden der MFA-Push-Benachrichtigungen Tag und Nacht aufrechtzuerhalten, um die Vorsicht der Zielpersonen (Mitarbeiterinnen und Mitarbeiter) psychologisch zu durchbrechen und ein Gefühl der „Müdigkeit“ in Bezug auf die nervenden, immer und immer wieder eintrudelnden MFA-Eingabeaufforderungen zu erzeugen.
Nachdem die Angreifer ihre Ziele mit den wiederholten MFA-Benachrichtigungen madig gemacht und durch die Hölle geschickt haben, kontaktieren sie ihre Ziele/Opfer per E-Mail, Messaging-Plattformen, SMS oder Telefon. Sie geben beispielsweise vor, dass sie vom IT-Support (intern/extern) sind. Mit dieser Art der Kontaktaufnahme wollen sie die Zielpersonen endgültig überzeugen und dazu bringen, die MFA-Aufforderung zu akzeptieren.
Letztendlich sind die Zielpersonen/Opfer meist so sehr von dem Push-Benachrichtigungs-Bombardement genervt, dass sie entweder versehentlich auf die Schaltfläche „Genehmigen“ klicken oder die MFA-Anfrage akzeptieren, um die Flut von Benachrichtigungen endlich zu stoppen.
Die Social-Engineering-Technik MFA-Fatigue hat sich bei Angreifern als sehr erfolgreich erwiesen, wenn sie gegen große und bekannte Unternehmen wie Microsoft, Cisco und jetzt Uber vorgehen.
Was kannst du tun, wenn du Opfer eines MFA-Fatigue-Angriffs wirst?
Wenn du das Ziel einer MFA-Fatigue-Attacke wirst, solltest du nach Möglichkeit sofort das Passwort für dein Konto ändern, um zu verhindern, dass sich die Bedrohungsakteure immer und immer wieder anmelden und weitere MFA-Push-Benachrichtigungen senden. Sobald das Passwort geändert wurde, kann der Angreifer keinen MFA-Spam mehr versenden.
Eine weitere Möglichkeit, die Endlosschleife zu beenden, ist das Deaktivieren der MFA-Push-Benachrichtigungen. Sollte das Deaktivieren nicht möglich sein, empfiehlt es sich, den Nummernabgleich von Microsoft (Verified Push in Duo) zu aktivieren.