Die Multi-Faktor-Authentifizierung (MFA) gilt als starke Barriere, doch Angreifer haben einen Riss gefunden: das Anfrage-Bombardement. Diese Methode besteht darin, Dutzende Push-Benachrichtigungen auf das Handy des Benutzers zu senden, bis dieser aus Frustration oder Versehen eine akzeptiert. Von foro3d.com erinnern wir daran, dass das Bestätigen einer unerwarteten Anfrage dem Angreifer die Tür öffnet. Kontinuierliche Schulungen in Cybersicherheit sind die einzige wirkliche Verteidigung gegen diese Art von Ermüdung.
Wie der MFA-Ermüdungsangriff funktioniert 🔐
Der Angriff, bekannt als MFA Fatigue oder Bombing, nutzt eher die menschliche Psychologie als die Technologie aus. Der Angreifer, nachdem er Zugangsdaten erlangt hat, feuert wiederholte MFA-Anfragen von derselben Sitzung ab. Der Benutzer, überwältigt von ständigen Alarmen, kann eine akzeptieren, um den Lärm zu unterdrücken. Systeme wie Okta oder Microsoft haben Fälle dokumentiert, in denen 15 Minuten Bombardement ausreichten, damit ein Mitarbeiter nachgab. Die technische Lösung besteht aus Sperrrichtlinien nach fehlgeschlagenen Versuchen und Benachrichtigungen mit geografischem Kontext.
Der Klick, der dich rettet oder ruiniert 🎯
Stell dir das vor: Du versuchst seit 20 Minuten, dich in dein Konto einzuloggen, und plötzlich erscheint ein Fenster, das um Bestätigung bittet. Du denkst: Endlich funktioniert es. Und du klickst. Herzlichen Glückwunsch, du hast gerade einem Fremden deinen Zugang geschenkt, der aus seinem Keller jubelt. Das MFA-Bombardement ist die digitale Version dieses nervigen Freundes, der 50 Mal anruft, bis du rangehst. Der Unterschied ist, dass hier, wenn du nachgibst, dein Konto in den Händen von jemandem landet, der sich nicht zum Kaffeetrinken verabreden will.