MFA-Fatigue-Angriff oder MFA-Fatigue-Attacke heißt eine neue Taktik von Hackern, um die Multi-Faktor-Authentifizierung zu umgehen. Da Cyberattacken immer weiter zunehmen, ist es in vielen Bereichen bereits Pflicht, mehr als nur eine Authentifizierungsmaßnahme zu ergreifen.
Doch Kriminelle können auch die Multi-Faktor-Authentifizierung aushebeln. Wie und welchen Schutz es gibt, erfahren Sie hier!
Unser Beitrag über den MFA-Fatigue-Angriff im Überblick:
Was ist Multi-Faktor-Authentifizierung?
Bei einer Authentifizierung wird ermittelt, ob die Angaben, die eine Person über sich selbst macht, der Wahrheit entsprechen. Die Anzahl der Faktoren, die für den Nachweis einer Benutzeridentität notwendig sind, hängt dabei oft von der Sensibilität der betreffenden Daten und digitalen Ressourcen ab.
Je schützenswerter die Daten sind, desto wichtiger ist eine Multi-Faktor-Authentifizierung (MFA). Die bekannteste Authentifizierung mit mehreren Faktoren ist die mittlerweile weitverbreitete Zwei-Faktor-Authentifizierung. Aber Authentifizierungen mit auch mehr als zwei Faktoren werden immer beliebter. Neben der E-Mail-Adresse oder einem anderen Benutzernamen, sind für die Authentifizierung dann beispielsweise ein Kennwort und biometrische Daten oder ein Einmal-Code erforderlich. Der Code kann über eine entsprechende App generiert werden kann.
Wer beispielsweise auf sein Online-Konto auf einer Shopping-Seite zugreifen will, benötigt meistens nur E-Mail-Adresse und Passwort. Wollen Sie dagegen Ihren Kontostand online abrufen, kann noch ein dritter Faktor nötig sein. Wie man aber an dem Instagram-Hack oder den verschwundenen PayPal-Punkten sehen kann, macht es bei jedem Login Sinn, die Multi-Faktor-Authentifizierung mit mehr als zwei Faktoren zu verwenden.
Auch wenn es oftmals umständlich ist, immer wieder einen zusätzlichen Faktor beim Einloggen in Online-Accounts zu verwenden, sie sind unerlässlich für die Sicherheit. Bild: ©tete_escape/stock-adobe.com
MFA – umständlich, aber sinnvoll
Die Multi-Faktor-Authentifizierung gilt derzeit als sicherste Methode, um sein Konto vor unerlaubtem Zugriff zu schützen. Sie ist deshalb mehr als sinnvoll, wenn Sie nicht zum Opfer von Hackerangriffen werden wollen. In der Praxis ist sie allerdings etwas umständlich, was viele User davon abhält, sie einzurichten.
Ein Beispiel: Sie benutzen im Büro jeden Tag dieselben Programme und haben auch Zugriff auf sensible Firmendaten dank Programm XY. Nachdem Ihre Firma mehrfach zum Opfer von Hackerangriffen geworden ist, richtet Ihre IT-Abteilung für das Programm XY die Multi-Faktor-Authentifizierung ein, damit Fremde keine Zugriff mehr erhalten können.
Für Sie bedeutet dass, dass Sie nicht nur Ihr Passwort, sondern auch einen Einmal-Code oder biometrische Informationen eingeben müssen. Sie müssen also jedes Mal, wenn Sie auf Programm XY zugreifen wollen, einen Schritt mehr erledigen.
MFA-Fatigue-Angriff
Und genau hier kommen dann auch die kriminellen Hacker ins Spiel. Sie verwenden ein ganzes Arsenal an erprobten Techniken und technischen Lösungen, um Nutzer dahingehend auszutricksen, ihre Login-Daten einzugeben – angefangen beim Phishing, über Vishing, Smishing und Whaling bis hin zum Baiting. Bei all diese Attacken handelt es sich um Social-Engineering-Attacken.
Die ergaunerten Login-Daten setzen die Kriminellen anschließend für Ransomware-Angriffe, Datendiebstahl oder zum Leerräumen von Bankkonten ein. So gingen Kriminelle auch beim Verteilen der Ransomware Yanluowang vor. Übrigens: Was Sie tun können, wenn Sie Opfer einer Datenpanne geworden sind, erfahren Sie bei in unserem Blog.
Beim MFA-Fatigue-Angriff handelt es sich ebenfalls um eine Social-Engineering-Attacke. Dabei versuchen die Kriminellen, bei einem Hackerangriff die Multi-Faktor-Authentifizierung zu umgehen. Dafür fordern sie wiederholt und automatisiert die Authentifizierung an, bis das Opfer von den vielen Anfragen ermüdet ist und schlussendlich bestätigt. Es gibt auch Fälle, in denen die Kriminellen anrufen, sich als neuer IT-Kollege ausgeben, von einem Softwarefehler sprechen und das Opfer bitte, den Vorgang zu bestätigen, um das System zurückzusetzen.
Ob zuhause oder im Büro: Zu MFA-Fatigue-Angriffen kommt es vor allem abends und am Wochenende. Bild: Pexels/Ivan Samkov
MFA-Fatigue-Angriff abends und am Wochenende
Besonders beliebt ist ein MFA-Fatigue-Angriff am Abend oder am Wochenende. Denn dann sind Kollegen, bei denen man rückfragen könnte, oftmals schon im verdienten Feierabend und somit über die normalen Kanäle unerreichbar.
Damit der MFA-Fatigue-Angriff überhaupt funktioniert, muss der Täter personenbezogenes Wissen haben. Nur dann kann er überzeugend argumentieren. Allerdings bittet er nicht plump um die gewünschten Informationen. Stattdessen enthält das Opfer firmeninterne Details, welche die Täter zur vermeintlichen Verifizierung ihrer Rolle nutzen.
Ist die Falle zugeschnappt, bestätigt das Opfer die Authentifizierung. Entweder, weil es der telefonischen Bitte glaubt oder einfach aus Genervtheit, damit die unangenehmen Aufforderungen aufhören.
Aus psychologischer Sicht ist das ein logisches Verhalten, denn das Opfer sieht in den Nachfragen des Täter einen Fehler beispielsweise eines neuen Kollegen, dem es helfen will, um dann die Sache auf sich beruhen zu lassen. Um nicht in die Falle zu tappen, sind Awareness-Schulungen für Mitarbeiter unerlässlich!
Daran erkennen Sie MFA-Fatigue-Angriff
Eigentlich ist ein MFA-Fatigue-Angriff relativ leicht zu erkennen. Machen Sie sich eines bewusst: Eine Authentifizierungsanfrage wird nur dann abgesendet, wenn Sie zuvor das korrekte Passwort in ein System eingegeben haben. Denn genau das ist ja der Sinn der Multi-Faktor-Authentifizierung – der zusätzliche Schutz durch eine zusätzliche Sicherheitsabfrage.
Wenn ein Krimineller Ihre Zugangsdaten kennt, kann er nur Zugriff bekommen, wenn er beispielsweise auch den Einmal-Code bekommt. Doch der geht nur Ihnen zu. Entweder auf Ihrem Handy oder per Authenticator-App. Wenn Sie sich also in das Programm XY nicht einloggen wollen, kann dafür auch keine Anfrage kommen. Kommt sie dennoch, handelt es sich um eine Cyberattacke.
Das bedeutet: Jemand anderes ist im Besitz Ihres Passworts. Die einzige logische Konsequenz ist daher, dass Sie das Passwort sofort ändern. Nutzen Sie dafür unbedingt den üblichen Weg und keinesfalls den „neuen Link“, den Ihnen ein unbekannter Kollege vom IT-Support gerade geschickt hat. Stattdessen sollten Sie Ihrer IT-Abteilung oder Ihrem externen IT-Dienstleister den Vorfall melden.
Sicherheit für Ihren Online-Account bietet die Multi-Faktor-Authentifizierung. Bild: ©freeslab/stock.adobe.com
Passwortsicherheit und Datenschutz
Haben Sie weder IT-Abteilung noch IT-Dienstleister, ist es dringend an der Zeit, sich darum zu kümmern. PC-SPEZIALIST ist Ihr geeigneter Ansprechpartner in Sachen IT-Sicherheit und Datenschutz. Mit dem IT-Basisschutz oder anderen Managed Services sind unsere IT-Experten für Sie da!
Wir kümmern uns proaktiv darum, dass Ihre Daten sicher sind und sorgen durch kontinuierliches Monitoring dafür, dass keine Systemausfälle passieren. Auch Angriffe von außen wehren wir dadurch zuverlässig ab.
Auch installieren auf Wunsch entsprechende Software: Wenn Sie beispielsweise noch keinen Passwort-Manager verwenden, um komplizierte und einmalige Passwörter zu verwalten, beraten unsere IT-Experten Sie umfassend und installieren einen Passwort-Manger. Damit ist gewährleistet, dass sich Ihre Mitarbeiter ihre Passwörter nicht auf Post-its am Monitor notieren und sogar nur ein Passwort für alle Zugänge verwenden.
Erfolg von MFA-Fatigue-Angriff
Doch warum ist ein MFA-Fatigue-Angriff häufig so erfolgreich? Alle Social-Engineering-Attacken bzw. Social-Hacking-Methoden leben davon, ihre potenziellen Opfer zu überrumpeln. Die Geschichten, die dahinter stecken können dabei ganz unterschiedlich und vor allem der Situation angepasst sein. So ist beispielsweise der aktuelle WhatsApp-Betrug mit dem angeblich kaputten Handy so erfolgreich, weil er darauf baut, dass sich Eltern um ihre Kinder. Dabei ist es egal, in welchem Alter die Kinder sind.
Fakt ist, die Kriminellen wenden Tricks an, die das rationale, also vernunftorientierte Denken aushebelt. Dies kann durch die Drohung geschehen, dass man sonst den Zugriff auf Daten verliere. Aber auch durch die Entschuldigung eines jungen Menschen, der angeblich einen Fehler gemacht hat und nun unbürokratische Hilfe benötigt. Ganz großes Kino bietet das Romance Scamming, das die große Liebe verspricht.
Aber: Das Wissen, dass solche Attacken stattfinden, ist ein erster wichtiger Schritt, um sich dagegen zu wehren. Sollten Sie also an Ihrem Arbeitsplatz eine merkwürdige Anfrage für eine MFA-Authentifizierung erhalten, ändern Sie Ihr Passwort und informieren Sie Ihre IT-Abteilung.
_______________________________________________
Andere Stimmen zum Thema: pingidentity, trendmicro
Es ist schlicht und ergreifend grob fahrlässig, wenn ein MFA nur verlangt wird wenn die Eingabe von Benutzername/Passwort bereits erfolgreich war……..
Ein MFA sollte immer verlangt werden, egal ob die Credentials stimmen oder nicht.
Warum? So könnte der Angreifer die Credentials ja bereits per BruteForce verifizieren. Wird aber immer ein MFA verlangt, so wird auch das verifizieren der Login Credentials erschwert.
Schlecht recherchierter Artikel, ohne Hintergrundwissen bzw. ohne sich über den Inhalt auch nur ernsthaft Gedanken gemacht zu haben
Deutsche Sprache, schwere Sprache…