Funktionsweise von MFA-Ermüdungsangriffen und 6 Möglichkeiten zur Abwehr

Was ist ein MFA-Ermüdungsangriff?

Ein Multi-Faktor-Authentifizierungsangriff (MFA), auch bekannt als MFA-Bombing oder MFA-Spamming, ist eine Art Social-Engineering-Cyberangriff, bei dem der Angreifer wiederholt MFA-Anfragen an die E-Mail-Adresse, das Telefon oder andere registrierte Geräte des Opfers sendet. Ziel dieses Angriffs ist es, das Opfer dazu zu zwingen, seine Identität per Benachrichtigung zu bestätigen. Dadurch wird der Versuch des Angreifers, auf das Konto oder Gerät des Opfers zuzugreifen, authentifiziert.

Empfohlene Lektüre: Sicherheitsanalyse von Big Data: Vergangenheit, Gegenwart und Zukunft.

Funktionsweise von MFA-Ermüdung

MFA-Fatigue-Angriffe sind eine Form des Social Engineering. Um einen MFA-Fatigue-Angriff auszuführen, muss sich der Angreifer zunächst Zugriff auf die Anmeldedaten des Opfers verschaffen, typischerweise über eine Phishing-E-Mail, einen Credential-Stuffing-Angriff oder durch Kauf im Darknet. Sobald der Angreifer die Anmeldedaten des Opfers erlangt hat, kann er versuchen, sich bei dessen Konto oder Gerät anzumelden. Ist MFA für das Konto aktiviert, wird der Angreifer aufgefordert, den Zwei-Faktor-Authentifizierungscode einzugeben.

Um die MFA-Push-Benachrichtigungen auszulösen, gibt der Angreifer die E-Mail-Adresse oder Telefonnummer des Opfers als registriertes Gerät für MFA ein. Anschließend sendet der Angreifer wiederholt MFA-Anfragen an die registrierten Geräte des Opfers, typischerweise mit einer Frequenz, die die Fähigkeit des Opfers, die Anfragen ordnungsgemäß zu überprüfen, überfordert.

Das Opfer erhält möglicherweise mehrere MFA-Anfragen kurz hintereinander. Der Angreifer nutzt verschiedene Social-Engineering-Taktiken, um das Opfer unter Druck zu setzen, die Anfragen schnell zu genehmigen. Beispielsweise behauptet der Angreifer, dass es verdächtige Aktivitäten auf dem Konto gebe oder dass das Konto gesperrt werde, wenn die Anfragen nicht genehmigt würden.

Fällt das Opfer auf die Taktik des Angreifers herein und genehmigt die MFA-Anfragen, ohne deren Legitimität ordnungsgemäß zu überprüfen, erhält der Angreifer Zugriff auf das Konto oder Gerät des Opfers. Dies kann es dem Angreifer ermöglichen, vertrauliche Informationen zu stehlen, betrügerische Transaktionen durchzuführen oder Malware auf dem Gerät des Opfers zu installieren.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, sich besser vor MFA-Fatigue-Angriffen zu schützen:

Schulen Sie Benutzer darin, MFA-Spam zu erkennen
Informieren Sie Benutzer über die Risiken der MFA-Müdigkeit und lehren Sie sie, unerwünschte MFA-Aufforderungen zu ignorieren. Mitarbeiter sollten wissen, dass sie keine Anfragen genehmigen dürfen, es sei denn, sie haben die Anmeldung selbst initiiert.

Verwenden Sie den Nummernabgleich für die MFA-Genehmigung
Implementieren Sie einen Nummernabgleich anstelle einfacher „Genehmigen/Ablehnen“-Push-Benachrichtigungen. Benutzer müssen einen auf ihrem Gerät angezeigten Code mit der Anmeldeanforderung abgleichen, wodurch die Wahrscheinlichkeit versehentlicher Genehmigungen verringert wird.

MFA-Frequenzgrenzen aktivieren
Konfigurieren Sie Grenzwerte für die Anzahl der MFA-Anfragen, die innerhalb eines kurzen Zeitraums gesendet werden. Dies verhindert, dass Angreifer Benutzer mit wiederholten Aufforderungen bombardieren, und erleichtert die Erkennung ungewöhnlicher Aktivitäten.

Geolokalisierungsbasierte MFA-Einschränkungen hinzufügen
Fordern Sie eine zusätzliche Überprüfung an, wenn Anmeldeversuche von ungewöhnlichen oder risikoreichen Standorten erfolgen. Dies erhöht die Sicherheit, indem Versuche gekennzeichnet werden, die nicht mit den typischen Standortmustern des Benutzers übereinstimmen.

Überwachen Sie mithilfe von SIEM den Missbrauch von MFA-Eingabeaufforderungen
Integrieren Sie MFA-Protokolle in SIEM-Systeme, um ungewöhnliche Muster zu erkennen, beispielsweise eine hohe Anzahl von MFA-Anfragen innerhalb kurzer Zeit. So können Sie potenzielle MFA-Fatigue-Angriffe in Echtzeit erkennen und abwehren.

6 Möglichkeiten zum Schutz vor MFA-Ermüdungsangriffen

1. Aktivieren Sie zusätzlichen Kontext

Das Aktivieren zusätzlichen Kontexts ist eine Möglichkeit, sich vor MFA-Fatigue-Angriffen zu schützen. Wenn Benutzer weitere Informationen zur Authentifizierungsanfrage erhalten, können sie leichter feststellen, ob diese legitim ist. Hier sind einige Möglichkeiten, zusätzlichen Kontext für MFA zu aktivieren:

• Geolokalisierung: Durch die Verwendung der Geolokalisierung des Benutzers kann dessen Standort überprüft werden. Dies erschwert Angreifern die Durchführung von MFA-Fatigue-Angriffen von einem anderen Standort aus. Dies kann insbesondere bei Mobilgeräten nützlich sein, bei denen sich der Standort des Benutzers häufig ändern kann.
• Geräte-Fingerprinting: Geräte-Fingerprinting ist eine Technik, die dabei helfen kann, das Gerät des Benutzers anhand seiner einzigartigen Merkmale wie Browserkonfiguration, Bildschirmauflösung und Betriebssystem zu identifizieren. Es kann dazu beitragen, Angreifer daran zu hindern, verschiedene Geräte für MFA-Fatigue-Angriffe zu verwenden.
• Verhaltensanalyse: Die Analyse der Verhaltensmuster des Benutzers, wie z. B. der typischen Anmeldezeiten, des verwendeten Gerätetyps und der Anmeldeorte, kann dazu beitragen, festzustellen, ob eine Authentifizierungsanfrage legitim ist oder nicht. Dies kann insbesondere zur Erkennung von MFA-Fatigue-Angriffen nützlich sein, da Angreifer typischerweise vom normalen Verhaltensmuster des Benutzers abweichen.
• Sitzungsverlauf: Der Sitzungsverlauf bezieht sich auf eine Aufzeichnung der vorherigen Anmeldeversuche des Benutzers und der verwendeten Geräte. Durch die Überprüfung des Sitzungsverlaufs des Benutzers können verdächtige Verhaltensmuster erkannt und MFA-Fatigue-Angriffe verhindert werden.

2. Einführung einer risikobasierten Authentifizierung

Hier sind einige Möglichkeiten zur Einführung einer risikobasierten Authentifizierung für MFA:

• Risikobewertung: Dabei wird jeder Authentifizierungsanfrage ein Risikowert zugewiesen, der auf verschiedenen Faktoren basiert, wie z. B. Standort, Gerät und Verhaltensmuster des Benutzers. Je höher der Risikowert, desto mehr Authentifizierungsfaktoren sollten zur Überprüfung der Benutzeridentität erforderlich sein.
• Adaptive Authentifizierung: Diese Methode nutzt eine Echtzeit-Risikoanalyse, um die für jeden Anmeldeversuch erforderliche Authentifizierungsstufe zu bestimmen. Dies kann die Analyse der Verhaltensmuster des Benutzers, des verwendeten Geräts und des Ortes des Anmeldeversuchs beinhalten.
• Dynamisches Richtlinienmanagement: Beim dynamischen Richtlinienmanagement wird die Authentifizierungsrichtlinie an die aktuelle Risikostufe angepasst. Bei einem hohen Risiko kann die Authentifizierungsrichtlinie beispielsweise zusätzliche Authentifizierungsfaktoren erfordern oder den Anmeldeversuch vollständig blockieren.

3. Implementieren Sie die FIDO2-Authentifizierung

FIDO2 ist ein offener Authentifizierungsstandard, der eine sichere Authentifizierung ohne Kennwörter ermöglicht. Die FIDO2-Authentifizierung kann mithilfe von Hardware-Sicherheitsschlüsseln wie USB- oder NFC-Schlüsseln implementiert werden. Diese Schlüssel speichern den privaten Schlüssel des Benutzers und verwenden Public-Key-Kryptografie, um die Identität des Benutzers zu überprüfen.

Dabei werden für jeden Benutzer ein öffentlicher und ein privater Schlüssel generiert. Der private Schlüssel wird auf dem Gerät des Benutzers oder dem Hardware-Sicherheitsschlüssel gespeichert, während der öffentliche Schlüssel auf dem Authentifizierungsserver gespeichert ist. Wenn sich der Benutzer anmeldet, sendet der Server eine Challenge an das Gerät des Benutzers, die mit dem privaten Schlüssel signiert ist. Die signierte Challenge wird dann an den Server zurückgesendet, der die Signatur mit dem öffentlichen Schlüssel überprüft.

4. Deaktivieren Sie Push-Benachrichtigungen als Überprüfungsmethode

MFA-Push-Benachrichtigungen sind benutzerfreundlich gestaltet, da Benutzer lediglich auf „Ja“ oder „Zulassen“ klicken müssen, um Anmeldeversuche zu genehmigen. Diese Einfachheit macht es Angreifern jedoch auch leichter, Benutzer mit betrügerischen MFA-Anfragen zu überhäufen.

Zum Schutz vor MFA-Fatigue-Angriffen wird empfohlen, Push-Benachrichtigungen als Verifizierungsmethode in Ihrer Authentifizierungs-App zu deaktivieren. Verwenden Sie stattdessen alternative Verifizierungsmethoden wie:

• Nummernabgleich: Dabei wird ein eindeutiger Code oder eine PIN, die von der Authentifizierungs-App bereitgestellt wird, mit dem Code abgeglichen, der während des Anmeldevorgangs auf dem Bildschirm angezeigt wird.
• Herausforderung und Antwort: Die App bietet eine zufällige Herausforderung oder Frage, die der Benutzer beantworten muss, um seine Identität zu bestätigen.
• Zeitbasierte Einmalpasswörter: Die App generiert einen einmaligen, alle paar Sekunden wechselnden Code, den der Nutzer zur Verifizierung seiner Identität eingeben muss.

Der Vorteil dieser alternativen Verifizierungsmethoden besteht darin, dass sie eine aktive Teilnahme der Benutzer am Authentifizierungsprozess erfordern und nicht versehentlich genehmigt werden können. Durch die Deaktivierung von Push-Benachrichtigungen und die Verwendung dieser alternativen Verifizierungsmethoden können MFA-Fatigue-Angriffe verhindert und die allgemeine Sicherheit von MFA verbessert werden.

5. Verbessern Sie das Sicherheitsbewusstsein rund um MFA

Die Aufklärung der Benutzer über die Risiken von MFA-Fatigue-Angriffen und die Bereitstellung von Anleitungen zur ordnungsgemäßen Überprüfung von MFA-Anfragen können dazu beitragen, die Wahrscheinlichkeit erfolgreicher Angriffe zu verringern. Hier sind einige Möglichkeiten, das Sicherheitsbewusstsein im Zusammenhang mit MFA zu stärken:

• Benutzerschulung: Bieten Sie Ihren Benutzern Schulungen und Trainings zu MFA an, einschließlich der Risiken von MFA-Fatigue-Angriffen und der Überprüfung der Authentizität von MFA-Anfragen. Dazu können simulierte Phishing-Übungen gehören, die das Bewusstsein für die Taktiken der Angreifer schärfen und den Benutzern beibringen, diese zu erkennen und zu vermeiden.
• Einfache Sprache: Erklären Sie die Risiken und Vorteile von MFA in einfacher Sprache und geben Sie klare Anweisungen zur Einrichtung und Nutzung von MFA. Vermeiden Sie Fachjargon oder komplexe Sprache, da diese Benutzer verwirren und die Wirksamkeit von Sicherheitsbewusstseinsprogrammen beeinträchtigen kann.
• Gute Passworthygiene: Ermutigen Sie Benutzer, sichere, eindeutige Passwörter zu verwenden und die Wiederverwendung von Passwörtern für mehrere Konten zu vermeiden. Dies kann dazu beitragen, Angreifer daran zu hindern, gestohlene Passwörter für MFA-Fatigue-Angriffe zu verwenden.
• Aktivität überwachen: Überwachen Sie Benutzerkonten regelmäßig auf verdächtige Aktivitäten, wie z. B. mehrere fehlgeschlagene Anmeldeversuche oder ungewöhnliche Anmeldeorte. Dies kann dazu beitragen, MFA-Fatigue-Angriffe und andere Arten von Cyberangriffen zu erkennen, bevor sie erheblichen Schaden anrichten.
• Überprüfen und aktualisieren: Überprüfen und aktualisieren Sie regelmäßig MFA-Einstellungen, z. B. registrierte Geräte und Benachrichtigungseinstellungen, um sicherzustellen, dass sie hinsichtlich Sicherheit und Benutzerfreundlichkeit optimiert sind. Dies kann dazu beitragen, MFA-Fatigue-Angriffe und andere Arten von Cyberangriffen zu verhindern.

6. Schutz vor MFA-Ermüdungsangriffen mit einer fortschrittlichen SIEM-Plattform

Der Schutz vor MFA-Fatigue-Angriffen erfordert einen proaktiven Ansatz. Dieser lässt sich durch die Kombination fortschrittlicher SIEM-Lösungen (Security Information and Event Management) mit Benutzer- und Entitätsverhaltensanalysen (UEBA) und anderen bewährten Sicherheitsmethoden erreichen. Fortschrittliche SIEM-Plattformen bieten Echtzeitüberwachung, Bedrohungserkennung und Reaktion auf Vorfälle, um Unternehmen bei der Erkennung und Abwehr von MFA-Fatigue-Angriffen zu unterstützen.

Hier sind einige Möglichkeiten zum Schutz vor MFA-Ermüdungsangriffen mithilfe von SIEM:

• Echtzeitüberwachung und -warnung: SIEM-Systeme überwachen Ihre Umgebung auf Anzeichen verdächtigen oder ungewöhnlichen Verhaltens, wie z. B. wiederholte fehlgeschlagene Anmeldeversuche oder ungewöhnliche Zugriffsmuster. Durch die Einrichtung von Echtzeitwarnungen können Sicherheitsteams potenzielle MFA-Fatigue-Angriffe schnell untersuchen und eindämmen.
• Benutzer- und Entitätsverhaltensanalyse (UEBA): SIEMs nutzen UEBA, um grundlegende Muster des Anmelde- und Geräteverhaltens zu ermitteln und Abweichungen von der Norm zu identifizieren. Dies hilft, Versuche zu erkennen, MFA-Müdigkeit auszunutzen, indem ungewöhnliche Anmeldemuster oder Kontonutzungen identifiziert werden.
• Bedrohungserkennung durch maschinelles Lernen: Viele SIEM-Systeme nutzen maschinelles Lernen, um komplexe Angriffsmuster zu erkennen und Bedrohungen zu entdecken, die herkömmliche, regelbasierte Systeme möglicherweise übersehen. Diese Funktion kann Sicherheitsteams dabei helfen, MFA-Fatigue-Angriffe effektiver zu erkennen und zu verhindern.
• Reaktion auf Vorfälle und Automatisierung: Die meisten fortschrittlichen SIEM-Plattformen umfassen häufig orchestrierte Funktionen zur Reaktion auf Vorfälle und zur Automatisierung, sodass Sicherheitsteams schnell auf potenzielle MFA-Fatigue-Angriffe reagieren können, indem sie betroffene Konten isolieren, Anmeldeinformationen zurücksetzen oder andere Abhilfemaßnahmen auslösen.

Durch den Einsatz von SIEM-Funktionen und die Implementierung anderer bewährter Sicherheitsmethoden können sich Unternehmen wirksam vor MFA-Fatigue-Angriffen schützen und eine sichere und robuste Authentifizierungsumgebung aufrechterhalten.

Schutz vor Identitätsangriffen mit Exabeam

Exabeam Security Analytics ^™ läuft auf einem bestehenden SIEM oder Data Lake und verbessert die Abwehrmechanismen eines Unternehmens gegen anmeldedatenbasierte Angriffe. Security Analytics sortiert alle Verhaltensweisen in Smart Timelines ^™, um den vollständigen Verlauf eines Vorfalls darzustellen. Dabei werden vollständige Ereignisabläufe (sowohl verdächtige als auch normale) angezeigt, um Aktivitäten zu identifizieren und das mit jedem Ereignis verbundene Risiko zu bewerten. Exabeam Security Analytics bietet UEBA mit Bedrohungserkennung und einen Korrelationsregel-Generator, um Ihre Erkennungen und Benachrichtigungen an die Bedürfnisse Ihres Unternehmens anzupassen.
Wenn Sie zusätzlich zu UEBA Sicherheitsorchestrierung und automatisierte Reaktionen benötigen, bietet Exabeam Sicherheitsuntersuchung ^Inhalte, Workflows und Automatisierung für ergebnisorientierte Funktionen zur Bedrohungserkennung, -untersuchung und -reaktion (TDIR). Um die Standardisierung der TDIR-Best Practices zu unterstützen, umfasst Sicherheitsuntersuchung vorgeschriebene Workflows für Ransomware, Phishing, Malware, kompromittierte und böswillige Insider sowie vorgefertigte Inhalte (z. B. MITRE ATT&CK-Framework), die sich auf bestimmte Bedrohungsarten und -techniken konzentrieren, um eine wiederholbarere und erfolgreichere TDIR zu erreichen.