Mit MFA Prompt Bombing versuchen sich Angreifer Zugang zu einem durch Multi-Faktor-Authentifizierung (MFA) geschützten System zu verschaffen. Die Taktik besteht darin, innerhalb von kurzer Zeit zahlreiche MFA-Genehmigungsanfragen an einen Nutzer zu senden, so dass dieser von der Menge der Anfragen schlicht überwältigt wird. Die stetige Vorgabe, Authentifizierungscodes einzugeben oder zusätzliche Schritte zur Bestätigung der eigenen Identität zu unternehmen, kann bei Benutzern zu Frustration führen, was zur MFA Fatigue führt. Dadurch können die Angreifer Sicherheitsmaßnahmen leichter umgehen oder deaktivieren. Das wiederum beeinträchtigt die Wirksamkeit der MFA und erhöht das Risiko von Sicherheitsverletzungen. MFA Prompt Bombing ist eine spezifische Angriffsmethode, zu der einige Missverständnisse kursieren. Die Nevis Security AG hat die fünf gängigsten Mythen zusammengefasst und gibt Tipps, um solche Angriffe abzuwehren: 

  1. MFA ist immer sicher und nicht anfällig für Angriffe
    Der Mythos, dass MFA immer sicher und nicht anfällig für Angriffe ist, basiert auf der falschen Vorstellung, dass die Verwendung von mehreren Authentifizierungsfaktoren automatisch eine undurchdringliche Barriere schafft. MFA kann die Sicherheit zwar tatsächlich erheblich steigern, da sie eine zusätzliche Schutzschicht über das herkömmliche Passwort hinaus bietet. Die Effektivität von MFA hängt jedoch stark von der korrekten Implementierung ab. Fehlende Rate-Limiting-Maßnahmen oder eine unzureichende Erkennung von Anomalien können MFA Prompt Bombing sogar begünstigen. Unternehmen sollten eine MFA daher nicht nur einführen, sondern auch sicherstellen, dass ihre Implementierung den aktuellen Bedrohungen standhält.
  2. Nur schwache Authentifizierungsmethoden sind anfällig
    Selbst bei der Verwendung von starken Authentifizierungsmethoden wie biometrischen Merkmalen oder Hardware-basierten Tokens kann MFA Prompt Bombing erfolgreich sein. Das ist der Fall, wenn es den Angreifern gelingt, den Nutzer mittels gefälschter Push-Nachrichten zu bombardieren. Durch eine Kombination von Social Engineering, Phishing oder anderen Täuschungsmethoden schaffen sie es, den User dazu zu bringen, die gefälschten MFA-Prompts zu bearbeiten. Benutzer, die nicht ausreichend für die Bedrohung durch MFA-Prompt-Bombing sensibilisiert sind, neigen eher dazu, auf gefälschte Anfragen zu reagieren.
  3. MFA Prompt Bombing erfordert fortgeschrittene Hackerkenntnisse
    Crime-as-a-Service (CaaS) ermöglicht es auch weniger versierten Hackern, MFA Prompt Bombing zu nutzen. Die Verbreitung von Anleitungen und Tools im Darknet führt ebenfalls dazu, dass die Technik immer häufiger auch von "Hobbykriminellen" eingesetzt wird. Unternehmen sollten in der Lage sein, ihre Sicherheitsmaßnahmen an unterschiedliche Bedrohungsniveaus anzupassen. Voraussetzung dafür ist unter anderem die Überwachung von verdächtigem Nutzerverhalten.
  4. Einmaliger Schutz gegen MFA Prompt Bombing reicht aus
    Die Angreifer entwickeln immer neue, raffiniertere Techniken, um die Sicherheitsmaßnahmen von Firmen zu überwinden. Was heute als wirksam gilt, kann morgen bereits veraltet sein. Ein statischer Schutz ist möglicherweise unzureichend, um mit der rasanten Entwicklung der Bedrohungen Schritt zu halten. Entscheidend ist eine proaktive Sicherheitsstrategie: regelmäßige Sicherheitsüberprüfungen, permanente Überwachungsmaßnahmen, die Aktualisierung von Sicherheitsprotokollen sowie die Implementierung von Technologien, die auf neue Bedrohungen reagieren können.
  5. MFA Prompt Bombing betrifft nur große Unternehmen
    Dem MFA Prompt Bombing können Unternehmen jeder Größe zum Opfer fallen. Kleinere Firmen sind möglicherweise weniger gut vorbereitet und somit besonders attraktiv für die Angreifer. Durch eine adaptive Authentifizierung lassen sich die Anforderungen an die Authentifizierung je nach Benutzerverhalten und Kontext dynamisch anpassen. Die Risikobewertung erfolgt anhand von Analysen des Benutzerverhaltens und des Kontexts und bestimmt das Risiko einer bestimmten Anmeldung. Ein niedriges Risiko führt zu einem nahtlosen Anmeldeprozess, während ein höheres Risiko zusätzliche Authentifizierungsschritte erfordert.

Stephan Schweizer, CEO der Nevis Security AG, erläutert: „Wichtig ist ein ausgewogenes Verhältnis von Sicherheit und Nutzerfreundlichkeit. Das bedeutet: Um von den MFA-Vorteilen zu profitieren, sollten Unternehmen entsprechende Sicherheitsrichtlinien implementieren. Dabei sollte aber die Zahl der erforderlichen Authentifizierungsschritte im Rahmen bleiben, um die Benutzerfreundlichkeit nicht zu beeinträchtigen und eine MFA-Fatigue zu vermeiden.“

Über die Nevis Security AG

Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland, UK und Ungarn.

Firmenkontakt und Herausgeber der Meldung:

Nevis Security AG
Birmensdorferstrasse 94
CH8003 Zurich
Telefon: +49 (89) 8038684
http://www.nevis.net

Ansprechpartner:
Mareike Funke
Campaign Manager
Telefon: +49 (89) 1730-1938
E-Mail: nevis-security@teamlewis.com
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel