MFA Prompt Bombing ist eine relativ einfache, aber effektive Angriffsmethode von Angreifern, die darauf abzielt, Zugang zu einem System oder einer Anwendung zu erhalten, die durch Multi-Faktor-Authentifizierung (MFA) geschützt ist. Der Angreifer sendet dabei in kurzer Zeit eine Vielzahl an MFA-Genehmigungsanfragen an einen Benutzer, in der Hoffnung, dass das Opfer durch die Anfragen so überfordert ist, dass es schliesslich aufgibt und unwissentlich dem Angreifer Zugang gewährt. In den meisten Fällen wird der Angreifer den Benutzer zu einem ungünstigen Zeitpunkt herausfordern, zum Beispiel spät in der Nacht, was eine höhere Erfolgsquote verspricht.
Gastbeitrag von Haiko Wolberink, Vice President of Sales Emea, Silverfort
Unabhängig vom Grad der Belästigung durch MFA Prompt Bombing besteht das Ziel darin, dass der Benutzer die MFA-Anfrage akzeptiert und den Zugriff auf Konten gewährt oder eine Möglichkeit bietet, bösartigen Code auf einem Zielsystem auszuführen. Die Sicherheitsbranche betrachtet MFA-Prompt-Bombing-Attacken als eine Form des Social Engineering. Dieser bekannter Angriffsvektor hat seine Beliebtheit bei Angreifern erst in den letzten zwei Jahren gewonnen, und doch sind sich viele Benutzer und Sicherheitsteams dieser Angriffstechnik noch nicht bewusst.
MFA Prompt Bombing in Aktion
Eine der bekanntesten erfolgreichen Angriffe mit MFA Prompt Bombing wurde von der Hackergruppe Lapsus$ durchgeführt. Deren Aktionen verdeutlichten die Schwächen bestimmter Einstellungen, unter anderem von Push-Benachrichtigungen. Bei ihren jüngsten erfolgreichen Angriffen bombardierte die Hackergruppe Benutzer mit Anfragen, bis die Opfer schliesslich den Zugriff genehmigten. Zudem nutzte die Gruppe auch die Möglichkeit von MFA-Anbietern aus, bei der Mitarbeiter zur Authentifizierung einen Telefonanruf auf ein autorisiertes Gerät erhalten und als zweiten Faktor eine bestimmte Taste drücken.
Die Anweisung eines Mitglieds von Lapsus$ im gruppeninternen Telegram-Chat-Kanal verdeutlicht die dreiste Taktik der Cyberkriminellen: "Es gibt kein Limit bei der Zahl der Anrufe, die ihr machen könnt. Ruft den Mitarbeiter 100-mal nachts um 1 Uhr an, wenn er versucht zu schlafen, dann wird er höchstwahrscheinlich akzeptieren. Sobald der Mitarbeiter den ersten Anruf annimmt, könnt ihr auf das MFA-Registrierungsportal zugreifen und ein weiteres Gerät registrieren."
Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit
Aufgrund der zunehmenden Bekanntheit von MFA-Prompt-Bombing-Angriffen haben einige Unternehmen beschlossen, Push-Benachrichtigungen für Authentifizierungsanfragen zu deaktivieren und stattdessen Einmal-Passwörter (One Time Passwords, OTP) durchzusetzen. Diese sollen Angreifern den Zugang zu sensiblen Informationen und Ressourcen erschweren, führt aber zu einem schlechteren Benutzererlebnis, da Benutzer zusätzliche Anmeldeinformationen angeben müssen, wie zum Beispiel einen per SMS gesendeten Zahlencode.
OTP mag zwar etwas sicherer sein als Push-Benachrichtigungen, aber es verschlechtert das Benutzererlebnis. Unternehmen sollten vorsichtig sein, um das richtige Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit zu finden.
Was Unternehmen gegen MFA-Prompt-Bombing-Angriffe tun können
Anstatt auf OTP umzusteigen, ist es empfehlenswerter, MFA-Push-Benachrichtigungen automatisch zu verweigern, wenn eine bestimmte Anzahl von Benachrichtigungen überschritten wird. So bekommt ein Endbenutzer bei einem Angriff nur einige wenige MFA-Benachrichtigungen, während das Sicherheitsteam im Hintergrund über die ganze Flut von MFA-Anfragen in den Aktivitätsprotokollen des Benutzers in Kenntnis gesetzt wird.
Wenn es darum geht, das richtige Mass an Sicherheit und Benutzerfreundlichkeit für den MFA-Schutz zu finden, sind Push-Benachrichtigungen immer noch die empfohlene Lösung. Sie müssen jedoch mit den richtigen Sicherheitsmassnahmen implementiert werden.
Um für umfassenden Identitätsschutz zu sorgen, empfiehlt sich der Einsatz einer Plattform zum Schutz vor Identitätsbedrohungen, die speziell für die Echtzeit-Prävention, -Erkennung und -Reaktion auf identitätsbasierte Angriffe entwickelt wurde, welche kompromittierte Anmeldeinformationen für den Zugriff auf Zielressourcen missbrauchen. Solch eine Identity-Threat-Protection-Lösung verhindert identitätsbasierte Angriffe durch kontinuierliche Überwachung, Risikoanalyse und Echtzeit-Durchsetzung von Zero-Trust-Zugriffsrichtlinien für jeden Benutzer, jedes System und jede Umgebung vor Ort und in der Cloud. Dabei sorgt die Technologie für einen durchgängigen MFA-Schutz sowie eine kontinuierliche Überwachung aller Authentifizierungen On-Premises und in der Cloud.
Um sich dezidiert gegen MFA-Prompt-Bombing-Angriffe zu schützen, ermöglicht die Technologie eine adaptive Blockierung: Nach einer bestimmten Anzahl von abgelehnten MFA-Anfragen innerhalb eines kurzen Zeitraums wird der Benutzer nicht mehr gefragt und die Anfragen werden automatisch abgelehnt. Weiterhin können risikobasierte Richtlinien erstellt werden, die abnormale MFA-Aktivitätsrisiken erkennen und verhindern, wie etwa wenn Nutzer eine ungewöhnliche Anzahl von Anfragen innerhalb eines kurzen Zeitraums erhalten. Hiermit stellen Administratoren sicher, dass der Zugriff nicht-autorisierter Benutzer auf Unternehmensressourcen blockiert wird.
Zudem ermöglicht eine solche Lösung die automatische Identifizierung bösartiger Aktivitäten und Risiken aller Benutzerauthentifizierungsanfragen und lieft detaillierte Informationen zu jeder verweigerten MFA-Anfrage. Administratoren können alle Zugriffsanfragen mittels täglicher Reports überwachen oder indem sie Syslog-Events an ihr SIEM weiterleiten.
Social Engineering-Angriffe wie MFA Prompt Bombing versuchen gezielt, menschliche Schwächen auszunutzen. Deshalb sollte neben den technischen Sicherheitsvorkehrungen auch stets eine umfassende Aufklärung der Mitarbeiter erfolgen, damit sie auf diese Art Angriffe vorbereitet sind. Mit den genannten Massnahmen können Unternehmen ihre Widerstandsfähigkeit gegen Prompt-Bombing-Angriffe stärken und erschweren es Angreifern deutlich, MFA-Schutz auszuhebeln.
