Die Vorteile der Multi-Faktor-Authentifizierung (MFA) haben wir in einem anderen Blog-Beitrag schon einmal näher beleuchtet. Doch dort, wo ein neues Sicherheitssystem eingerichtet wird, gibt es leider weniger wohlmeinende Menschen, die versuchen, dieses zu umgehen. Mittels sogenannter MFA-Fatigue-Angriffe wird die MFA zunehmend ausgehebelt, deshalb ist es an vielen Stellen bereits Pflicht, mehr als eine Authentifizierungsmaßnahme zu ergreifen.
MFA-Fatigue-Angriffe sind Teil von Social-Engineering-Attacken, womit die MFA umgangen werden soll. Automatisiert und wiederholt fordern Cyberkriminelle eine Authentifizierung an, in der Hoffnung, dass ein potenzielles Opfer letztendlich entnervt die Anfrage bestätigt. Auch über Telefonanrufe gab es bereits Versuche, unberechtigt Zugriffe zu authentifizieren.
Was ist das Perfide an dieser Masche?
Um das potenzielle Opfer zu überzeugen, verwenden Täter in der Regel personenbezogene Daten, um sich dem Anschein nach zu legitimieren. Ist erst einmal das Vertrauen in die Anfrage geschaffen, steigt das Risiko für einen Erfolg der Social-Engineering-Attacke erheblich. Mit angeblichem Detailwissen über Firma oder Person wird so Vertrauen erschlichen. Damit Nachfragen bei anderen Kollegen oder Vertrauten erschwert sind, geschehen derartige Angriffe häufig am Wochenende oder zumindest nach dem üblichen Feierabend. Auf sich allein gestellt, neigen Menschen eher dazu, eine auch dubiose Anfrage zu bestätigen, damit diese gelöst ist.
Woran erkennen wir eine MFA-Fatigue-Attacke?
Grundsätzlich muss uns immer bewusst sein: Eine Anfrage für eine Authentifizierung kann nur gestellt werden, wenn zuvor das richtige Passwort für einen Dienst eingegeben wurde. Das heißt, sofern man sich gerade nirgendwo einloggen möchte, kann auch keine legitime Anfrage für eine Authentifizierung kommen! Alles andere lässt sich nur mit cyberkriminellen Gründen erklären. Eine sofortige Gegenmaße ist, umgehend das Passwort zu ändern. Der Erfolg derartiger Angriff kommt dadurch zustande, dass das potenzielle Opfer überrumpelt wird. Auch wenn es abhängig von der künstlichen Drucksituation schwierig ist: Bewahrt einen kühlen Kopf und hinterfragt, ob die Anfrage überhaupt Sinn ergibt. Logik ist in dem Fall ein guter Berater.
Image: Vector Mine / Adobe Stock