Im heutigen digitalen Umfeld haben sich herkömmliche Passwort-basierte Authentifizierungssysteme als anfällig für eine Vielzahl von Cyberangriffen erwiesen. Um kritische Unternehmensressourcen zu schützen, greifen Organisationen zunehmend auf die Multi-Faktor-Authentifizierung (MFA) als zuverlässigere Sicherheitsmaßnahme zurück. MFA erfordert, dass Benutzer mehrere Authentifizierungsfaktoren angeben, um ihre Identität zu überprüfen und eine zusätzliche Schutzschicht gegen unbefugten Zugriff bereitzustellen.
Jedoch sind Cyberkriminelle unerbittlich in ihrem Streben, Möglichkeiten zu finden, um MFA-Systeme zu umgehen. Eine Methode, die an Bedeutung gewinnt, sind MFA-Spamming-Angriffe, auch bekannt als MFA-Ermüdung oder MFA-Bombing. Dieser Artikel geht auf MFA-Spamming-Angriffe ein und stellt bewährte Verfahren zur Abwehr dieser wachsenden Bedrohung vor.
MFA-Spamming bezieht sich auf den bösartigen Akt, einen Zielbenutzer mit zahlreichen MFA-Prompt-Eingaben oder Bestätigungs-Codes per E-Mail, Telefon oder anderen registrierten Geräten zu überfluten. Das Ziel dieser Taktik besteht darin, den Benutzer mit Benachrichtigungen zu überwältigen, in der Hoffnung, dass er versehentlich einen unbefugten Login genehmigt. Um diesen Angriff auszuführen, benötigen Hacker die Anmeldeinformationen des Zielopfers (Benutzername und Passwort), um den Anmeldevorgang zu initiieren und die MFA-Benachrichtigungen auszulösen.
Es gibt verschiedene Methoden, um MFA-Spamming-Angriffe durchzuführen, darunter:
– Die Verwendung von automatisierten Tools oder Skripten, um die Geräte der Zielopfer mit einer großen Anzahl von Überprüfungsanfragen zu überfluten.
– Der Einsatz von Social Engineering-Taktiken, um den Zielbenutzer dazu zu bringen, eine Überprüfungsanfrage anzunehmen.
– Die Ausnutzung der API des MFA-Systems, um eine große Anzahl falscher Authentifizierungsanfragen an den Zielbenutzer zu senden.
Mit Hilfe dieser Techniken zielen Angreifer darauf ab, unbeabsichtigte Genehmigungen auszunutzen und so unbefugten Zugriff auf vertrauliche Informationen oder Konten zu erlangen.
Beispiele für MFA-Spamming-Angriffe sind:
– Zwischen März und Mai 2021 umgingen Hacker die SMS-Multi-Faktor-Authentifizierung des Unternehmens Coinbase, einem der größten Kryptowährungsaustauschunternehmen weltweit, und stahlen Kryptowährungen von über 6.000 Kunden.
– Im Jahr 2022 überfluteten Hacker Kunden von Crypto.com mit einer großen Anzahl von Benachrichtigungen zum Abheben von Geld von ihren Wallets. Viele Kunden genehmigen die betrügerischen Transaktionsanfragen versehentlich, was zu einem Verlust von 4.836,26 ETH, 443,93 BTC und etwa 66.200 US-Dollar in anderen Kryptowährungen führte.
Die Abwehr von MFA-Spamming-Angriffen erfordert die Implementierung technischer Kontrollen und die Durchsetzung relevanter MFA-Sicherheitsrichtlinien. Hier sind einige wirksame Strategien, um solche Angriffe zu verhindern:
– Durchsetzung von starken Kennwortrichtlinien und Blockierung von durchgesickerten Passwörtern.
– Endbenutzer-Schulungen, um die Bedeutung der sorgfältigen Überprüfung von MFA-Login-Anfragen vor der Genehmigung zu betonen.
– Einführung von Rate-Limiting-Mechanismen, um die Anzahl der Authentifizierungsanfragen für einzelne Benutzerkonten in einem bestimmten Zeitraum zu begrenzen.
– Implementierung von Überwachungs- und Alarmierungssystemen, um ungewöhnliche Muster von MFA-Anfragen zu erkennen und bei Bedarf sofortige Maßnahmen zu ergreifen.
Um sich effektiv gegen MFA-Spamming zu schützen, müssen Organisationen robuste Sicherheitspraktiken priorisieren. Eine effektive Taktik besteht darin, Kennwortrichtlinien zu stärken und die Verwendung von kompromittierten Passwörtern zu blockieren. Durch die Implementierung einer Lösung wie der Funktion „Breached Password Protection“ von Specops Password Policy können Organisationen dies erreichen.