Mit MFA Prompt Bombing versuchen sich Angreifer Zugang zu einem durch Multi-Faktor-Authentifizierung (MFA) geschützten System zu verschaffen. Die Taktik besteht darin, innerhalb von kurzer Zeit zahlreiche MFA-Genehmigungsanfragen an einen Nutzer zu senden, so dass dieser von der Menge der Anfragen schlicht überwältigt wird.
Die stetige Vorgabe, Authentifizierungscodes einzugeben oder zusätzliche Schritte zur Bestätigung der eigenen Identität zu unternehmen, kann bei Benutzern zu Frustration führen, was zur „MFA Fatigue“ führt. Dadurch können die Angreifer Sicherheitsmaßnahmen leichter umgehen oder deaktivieren. Das wiederum beeinträchtigt die Wirksamkeit der MFA und erhöht das Risiko von Sicherheitsverletzungen.
MFA Prompt Bombing ist eine spezifische Angriffsmethode, zu der einige Missverständnisse kursieren. Dazu sollte man die gängigsten Mythen kennen und wissen, wie sich derartige Angriffe abwehren lassen.
- MFA ist immer sicher und nicht anfällig für Angriffe: Der Mythos, dass MFA immer sicher und nicht anfällig für Angriffe ist, basiert auf der falschen Vorstellung, dass die Verwendung von mehreren Authentifizierungsfaktoren automatisch eine undurchdringliche Barriere schafft. MFA kann die Sicherheit zwar tatsächlich erheblich steigern, da sie eine zusätzliche Schutzschicht über das herkömmliche Passwort hinaus bietet. Die Effektivität von MFA hängt jedoch stark von der korrekten Implementierung ab. Fehlende Rate-Limiting-Maßnahmen oder eine unzureichende Erkennung von Anomalien können MFA Prompt Bombing sogar begünstigen. Unternehmen sollten eine MFA daher nicht nur einführen, sondern auch sicherstellen, dass ihre Implementierung den aktuellen Bedrohungen standhält.
- Nur schwache Authentifizierungsmethoden sind anfällig: Selbst bei der Verwendung von starken Authentifizierungsmethoden wie biometrischen Merkmalen oder Hardware-basierten Tokens kann MFA Prompt Bombing erfolgreich sein. Das ist der Fall, wenn es den Angreifern gelingt, den Nutzer mittels gefälschter Push-Nachrichten zu bombardieren. Durch eine Kombination von Social Engineering, Phishing oder anderen Täuschungsmethoden schaffen sie es, den User dazu zu bringen, die gefälschten MFA-Prompts zu bearbeiten. Benutzer, die nicht ausreichend für die Bedrohung durch MFA-Prompt-Bombing sensibilisiert sind, neigen eher dazu, auf gefälschte Anfragen zu reagieren.
- MFA Prompt Bombing erfordert fortgeschrittene Hacker-Kenntnisse: Crime-as-a-Service (CaaS) ermöglicht es auch weniger versierten Hackern, MFA Prompt Bombing zu nutzen. Die Verbreitung von Anleitungen und Tools im Darknet führt ebenfalls dazu, dass die Technik immer häufiger auch von “Hobbykriminellen” eingesetzt wird. Unternehmen sollten in der Lage sein, ihre Sicherheitsmaßnahmen an unterschiedliche Bedrohungsniveaus anzupassen. Voraussetzung dafür ist unter anderem die Überwachung von verdächtigem Nutzerverhalten.
- Einmaliger Schutz gegen MFA Prompt Bombing reicht aus: Die Angreifer entwickeln immer neue, raffiniertere Techniken, um die Sicherheitsmaßnahmen von Firmen zu überwinden. Was heute als wirksam gilt, kann morgen bereits veraltet sein. Ein statischer Schutz ist möglicherweise unzureichend, um mit der rasanten Entwicklung der Bedrohungen Schritt zu halten. Entscheidend ist eine proaktive Sicherheitsstrategie: regelmäßige Sicherheitsüberprüfungen, permanente Überwachungsmaßnahmen, die Aktualisierung von Sicherheitsprotokollen sowie die Implementierung von Technologien, die auf neue Bedrohungen reagieren können.
- MFA Prompt Bombing betrifft nur große Unternehmen: Dem MFA Prompt Bombing können Unternehmen jeder Größe zum Opfer fallen. Kleinere Firmen sind möglicherweise weniger gut vorbereitet und somit besonders attraktiv für die Angreifer. Durch eine adaptive Authentifizierung lassen sich die Anforderungen an die Authentifizierung je nach Benutzerverhalten und Kontext dynamisch anpassen. Die Risikobewertung erfolgt anhand von Analysen des Benutzerverhaltens und des Kontexts und bestimmt das Risiko einer bestimmten Anmeldung. Ein niedriges Risiko führt zu einem nahtlosen Anmeldeprozess, während ein höheres Risiko zusätzliche Authentifizierungsschritte erfordert.
Wichtig ist ein ausgewogenes Verhältnis von Sicherheit und Nutzerfreundlichkeit. Das bedeutet: Um von den MFA-Vorteilen zu profitieren, sollten Unternehmen entsprechende Sicherheitsrichtlinien implementieren. Dabei sollte aber die Zahl der erforderlichen Authentifizierungsschritte im Rahmen bleiben, um die Benutzerfreundlichkeit nicht zu beeinträchtigen und eine MFA-Fatigue zu vermeiden.“
Stephan Schweizer ist CEO der Nevis Security AG.