Warum Hacker Benutzer mit MFA-Anfragen bombardieren

Warum Hacker Benutzer mit MFA-Anfragen bombardieren
Anzeige

Beitrag teilen

MFA Prompt Bombing ist eine effektive Angriffsmethode von Angreifern, die darauf abzielt, Zugang zu einem System zu erhalten, die durch Multi-Faktor-Authentifizierung (MFA) geschützt ist. Der Angreifer sendet eine Vielzahl an MFA-Genehmigungsanfragen an einen Benutzer, um ihn durch die Anfragen zu überfordern. Ein falscher Klick und ein Angreifer hat Zugang.

Unabhängig vom Grad der Belästigung durch MFA Prompt Bombing besteht das Ziel darin, dass der Benutzer die MFA-Anfrage akzeptiert und den Zugriff auf Konten gewährt oder eine Möglichkeit bietet, bösartigen Code auf einem Zielsystem auszuführen. Die Sicherheitsbranche betrachtet MFA-Prompt-Bombing-Attacken als eine Form des Social Engineering. Dieser bekannter Angriffsvektor hat seine Beliebtheit bei Angreifern erst in den letzten zwei Jahren gewonnen, und doch sind sich viele Benutzer und Sicherheitsteams dieser Angriffstechnik noch nicht bewusst.

Anzeige

MFA Prompt Bombing in Aktion

Eine der bekanntesten erfolgreichen Angriffe mit MFA Prompt Bombing wurde von der Hackgruppe Lapsus$ durchgeführt. Deren Aktionen verdeutlichten die Schwächen bestimmter Einstellungen, unter anderem von Push-Benachrichtigungen. Bei ihren jüngsten erfolgreichen Angriffen bombardierte die Hackergruppe Benutzer mit Anfragen, bis die Opfer schließlich den Zugriff genehmigten. Zudem nutzte die Gruppe auch die Möglichkeit von MFA-Anbietern aus, bei der Mitarbeiter zur Authentifizierung einen Telefonanruf auf ein autorisiertes Gerät erhalten und als zweiten Faktor eine bestimmte Taste drücken.

Die Anweisung eines Mitglieds von Lapsus$ im gruppeninternen Telegram-Chat-Kanal verdeutlicht die dreiste Taktik der Cyberkriminellen: „Es gibt kein Limit bei der Zahl der Anrufe, die Ihr machen könnt. Ruft den Mitarbeiter 100-mal nachts um 1 an, wenn er versucht zu schlafen, dann wird er höchstwahrscheinlich akzeptieren. Sobald der Mitarbeiter den ersten Anruf annimmt, können Ihr auf das MFA-Registrierungsportal zugreifen und ein weiteres Gerät registrieren.“

Anzeige
WatchGuard_Banner_0922

Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit

Aufgrund der zunehmenden Bekanntheit von MFA-Prompt-Bombing-Angriffen haben einige Unternehmen beschlossen, Push-Benachrichtigungen für Authentifizierungsanfragen zu deaktivieren und stattdessen Einmal-Passwörter (One Time Passwords, OTP) durchzusetzen. Diese sollen Angreifern den Zugang zu sensiblen Informationen und Ressourcen erschweren, führt aber zu einem schlechteren Benutzererlebnis, da Benutzer zusätzliche Anmeldeinformationen angeben müssen, wie zum Beispiel einen per SMS gesendeten Zahlencode.

OTP mag zwar etwas sicherer sein als Push-Benachrichtigungen, aber es verschlechtert das Benutzererlebnis. Unternehmen sollten vorsichtig sein, um das richtige Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit zu finden.

Was Unternehmen gegen MFA-Prompt-Bombing-Angriffe tun können

Anstatt auf OTP umzusteigen, ist es empfehlenswerter, MFA-Push-Benachrichtigungen automatisch zu verweigern, wenn eine bestimmte Anzahl von Benachrichtigungen überschritten wird. So bekommt ein Endbenutzer bei einem Angriff nur einige wenige MFA-Benachrichtigungen, während das Sicherheitsteam im Hintergrund über die ganze Flut von MFA-Anfragen in den Aktivitätsprotokollen des Benutzers in Kenntnis gesetzt wird.

Wenn es darum geht, das richtige Maß an Sicherheit und Benutzerfreundlichkeit für den MFA-Schutz zu finden, sind Push-Benachrichtigungen immer noch die empfohlene Lösung. Sie müssen jedoch mit den richtigen Sicherheitsmaßnahmen implementiert werden.

Umfassender Identitätsschutz

Um für umfassenden Identitätsschutz zu sorgen, empfiehlt sich der Einsatz einer Plattform zum Schutz vor Identitätsbedrohungen, die speziell für die Echtzeit-Prävention, -Erkennung und -Reaktion auf identitätsbasierte Angriffe entwickelt wurde, welche kompromittierte Anmeldeinformationen für den Zugriff auf Zielressourcen missbrauchen. Solch eine Identity-Threat-Protection-Lösung verhindert identitätsbasierte Angriffe durch kontinuierliche Überwachung, Risikoanalyse und Echtzeit-Durchsetzung von Zero-Trust-Zugriffsrichtlinien für jeden Benutzer, jedes System und jede Umgebung vor Ort und in der Cloud. Dabei sorgt die Technologie für einen durchgängigen MFA-Schutz sowie eine kontinuierliche Überwachung aller Authentifizierungen On-Premises und in der Cloud.

Um sich dezidiert gegen MFA-Prompt-Bombing-Angriffe zu schützen, ermöglicht die Technologie eine adaptive Blockierung: Nach einer bestimmten Anzahl von abgelehnten MFA-Anfragen innerhalb eines kurzen Zeitraums wird der Benutzer nicht mehr gefragt und die Anfragen werden automatisch abgelehnt.

Risikobasierte Richtlinien schützen

Weiterhin können risikobasierte Richtlinien erstellt werden, die abnormale MFA-Aktivitätsrisiken erkennen und verhindern, wie etwa wenn Nutzer eine ungewöhnliche Anzahl von Anfragen innerhalb eines kurzen Zeitraums erhalten. Hiermit stellen Administratoren sicher, dass der Zugriff nicht-autorisierter Benutzer auf Unternehmensressourcen blockiert wird.

Zudem ermöglichen diese Lösung die automatische Identifizierung bösartiger Aktivitäten und Risiken aller Benutzerauthentifizierungsanfragen und liefern detaillierte Informationen zu jeder verweigerten MFA-Anfrage. Administratoren können alle Zugriffsanfragen mittels täglicher Reports überwachen oder indem sie Syslog-Events an ihr SIEM weiterleiten.

Social Engineering-Angriffe wie MFA Prompt Bombing versuchen gezielt, menschliche Schwächen auszunutzen. Deshalb sollte neben den technischen Sicherheitsvorkehrungen auch stets eine umfassende Aufklärung der Mitarbeiter erfolgen, damit sie auf diese Art Angriffe vorbereitet sind. Mit den genannten Maßnahmen können Unternehmen ihre Widerstandsfähigkeit gegen Prompt-Bombing-Angriffe stärken und erschweren es Angreifern deutlich, MFA-Schutz auszuhebeln.

Mehr bei SilverFort.com

 


Über Silverfort

Silverfort ist Anbieter der ersten Unified Identity Protection Platform, die IAM-Sicherheitskontrollen in Unternehmensnetzwerken und Cloud-Umgebungen konsolidiert, um identitätsbasierte Angriffe abzuwehren. Durch den Einsatz innovativer agenten- und proxyloser Technologie integriert sich Silverfort nahtlos in alle IAM-Lösungen, vereinheitlicht deren Risikoanalyse und Sicherheitskontrollen und erweitert deren Abdeckung auf Assets, die bisher nicht geschützt werden konnten, wie zum Beispiel selbstentwickelter und Legacy-Applikationen, IT-Infrastruktur, Dateisysteme, Command-Line-Tools, Machine-to-Machine-Zugriffe und mehr.


 

Passende Artikel zum Thema

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Hacker-Barrieren: Kontenmissbrauch mit Least Privilege-Ansatz verhindern

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz ➡ Weiterlesen

Kryptominer „Golang“ schürft in Windows-Systemen

Neue Variante der Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen. „Totgesagte leben ➡ Weiterlesen

AV-TEST: Android-Security-Apps für Unternehmen

Das Labor von AV-TEST hat eine neue Testreihe für Android-Sicherheits-Apps für Unternehmen gestartet. Im ersten Test stellt AV-TEST anhand von ➡ Weiterlesen

Sicherheitsfragen in Zeiten des Remote Work: IT-Experten antworten

Mit der Pandemiekrise, die Mitarbeiter weltweit an den heimischen Schreibtisch schickte, kamen auf Security-Verantwortliche in Unternehmen über Nacht neue Herausforderungen ➡ Weiterlesen

Insider-Bedrohungen durch ausscheidende Mitarbeiter

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch ➡ Weiterlesen

Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches ➡ Weiterlesen

Bitglass-Report: BYOD-Sicherheitsmaßnahmen sind oft unzureichend

Cloud-Sicherheitsanbieter Bitglass hat seinen BYOD Report 2020 veröffentlicht, in dem die Nutzung und Sicherheit persönlicher Geräte (Bring Your Own Device, ➡ Weiterlesen