Die Multi-Faktor-Authentifizierung (MFA) ist ein entscheidender Schritt zur Verbesserung der IT-Sicherheit. Anstatt nur einen Benutzernamen und ein Passwort für den Zugriff auf eine Ressource zu verlangen, fügt MFA einen weiteren „Faktor“ zur Identifikation des Anwenders hinzu. Diese Schutzmaßnahme versuchen Hacker mit der neuen Angriffsmethode „Password Fatigue“ auszuhebeln.
Wenn MFA überansprucht
Jeden Tag werden Menschen mit zahlreichen Benachrichtigungen überhäuft und aufgefordert zu reagieren: Es erklingen zahlreiche Melodien, Pieptöne und Vibrationen für Nachrichten, Alarme und Anrufe. Zahlreiche MFA-Anfragen können daher zu einem „Ermüdungseffekt“ führen. Angreifer versuchen die Aufmerksamkeit des Benutzers zu untergraben, indem sie so lange Push-Benachrichtigungen verschicken, bis ein entnervter oder abgelenkter Anwender tatsächlich einmal eine Anfrage bestätigt. Diese neue Angriffsmethode wird als „Push Bombing“ oder „Prompt Bombing“ bezeichnet.
MFA-Müdigkeit ist eine Art Phishing-Angriff. Im MITRE ATT&CK framework ist es als eine Möglichkeit definiert, „Multi-Factor Authentication-Mechanismen zu umgehen und Zugriff auf Konten zu erhalten, indem MFA-Anfragen generiert werden, die an Benutzer gesendet werden“.
Push-Bombing: Wenn einige Anmeldeinformationen bereits kompromittiert sind
Gegenwärtig sehen sich Unternehmen immer mehr solchen Push Bombing-Angriffen mit Multi-Faktor-Authentifizierung ausgesetzt, bei denen ein Angreifer im Allgemeinen bereits über einen der Authentifizierungsfaktoren verfügt, z. B. Benutzername/Passwort. Der Angreifer kann dann Push-Benachrichtigungen anfordern, die an das Smartphone des Benutzers gesendet werden.
Oft ist die Benachrichtigung ein neues Fenster oder Pop-up-Fenster, das auf einem Smartphone erscheint und den Mitarbeiter auffordert, die Anfrage zu genehmigen oder abzulehnen. Diese „Bist du das wirklich?“-Screens sind weit verbreitet, dass die User oft einfach daraufklicken, damit sie verschwinden und sie ihre Arbeit fortsetzen können.
Wenn ein paar dieser Anfragen nicht funktionieren, erhöhen die Hacker die Taktung: Sie überschwemmen das Authentifizierungsprogramm des Benutzers mit zahlreichen Benachrichtigungen und spammen das Telefon der Person. Und wenn das nicht funktioniert, verwenden sie andere Social Engineering-Taktiken wie Anrufe oder das Senden von Textnachrichten, die sich als IT-Mitarbeiter oder eine andere Autorität ausgeben, um den Benutzer davon zu überzeugen, die MFA-Benachrichtigung zu akzeptieren.
Senken Sie die Risiken durch Mitarbeitersensibilisierung und Technologie
Es ist vielleicht keine aufregende High-Tech-Lösung, aber die Benutzerschulung ist das wichtigste Element, um zu verhindern, dass diese Art von „Prompt Bombing“-Angriffen erfolgreich ist. Es klingt trivial, aber jedem Anwender muss absolut bewusst sein, dass man niemals eine Anmeldeanfrage genehmigen darf, wenn man sich nicht selbst angemeldet hat. Benutzer müssen in Punkto Cybersicherheit mehr als nur bewusst sein: Sie müssen informiert, wachsam und besorgt sein.
Obwohl die Aufklärung der Benutzer über MFA-Risiken von entscheidender Bedeutung ist, kann auch die Technologie hilfreich sein. Durch die Bereitstellung von zusätzlichem Kontext innerhalb der MFA-Benachrichtigung können Benutzer eine fundierte Entscheidung treffen, ob sie eine Genehmigung erteilen. Beispielsweise zeigen einige MFA-Lösungen den Zeitstempel, die Anwendung und/oder den Standort in der Benachrichtigung an. Andere zeigen auf der Web-Anmeldeseite einen eindeutigen Anmeldecode an, der mit demselben Code in der Benachrichtigung abgeglichen werden muss. Oder ziehen Sie die Verwendung von OTP-Passcodes anstelle von Push in Betracht, die angesichts dieser Angriffe tendenziell widerstandsfähiger sind.
Schränken Sie außerdem die Fähigkeit des potenziellen Angreifers ein, ahnungslose Benutzer zu bespammen. Ein adaptiver Zugriff und eine risikobasierte Authentifizierung können Anmeldeanforderungen auf bestimmte vertrauenswürdige Standorte oder bekannte Geräte beschränken, Verhaltensanalysen können helfen, abnormale Anmeldeaktivitäten zu erkennen, und eine Begrenzung der Anmeldeversuche kann aufeinanderfolgende erfolglose Anmeldeversuche drosseln.
Unabhängig davon, für welche Lösung Sie sich entscheiden, reduzieren diese Techniken die Möglichkeit, dass Endbenutzer versehentlich Anfragen genehmigen, die sie nicht initiiert haben.
Prävention durch feste Kommunikationsregeln und Sicherheitsoperationen
Wie so oft bei der Sicherheit ist die beste technische Vorbeugung eine vielschichtige Verteidigung. Im Folgenden haben wir einige Empfehlungen für Sie zusammengestellt:
Fragen bzgl. Kommunikationsregeln:
- Wissen Benutzer, was zu tun ist, wenn sie eine unerwartete Push-Authentifizierungsanforderung erhalten?
- Wissen alle Benutzer, wie sie Ihren Service Desk bei einem Sicherheitsproblem kontaktieren können?
- Haben Benutzer eine Möglichkeit, das Sicherheitsteam auf einem vordefinierten Kommunikationskanal (direkt) zu erreichen?
- Weiß Ihr Service Desk, wie er auf ein Sicherheitsproblem reagieren soll?
- Wissen die Benutzer, wie der Service Desk sie rechtmäßig kontaktieren würde, und dass Kontakten außerhalb dieses Mechanismus nicht vertraut werden sollte?
- Wissen die Benutzer, wie sie überprüfen können, ob ein Kontakt legitim ist?
Technische Präventivmaßnahmen:
- Wenn Sie immer noch auf Benutzernamen und Passwörter angewiesen sind, stellen Sie sicher, dass Sie einen Passwort-Tresor für Ihren sensibelsten Zugriff haben.
- Wenn der Verdacht auf kompromittierte Anmeldeinformationen besteht, erzwingen Sie eine Kennwortzurücksetzung. Durch einen Reset wird Push-Bombing in Zukunft verhindert.
- Auch wenn es (aus verschiedenen Gründen) nicht unbedingt die beste Vorgehensweise ist, Passwörter willkürlich zu ändern, begrenzt das Erzwingen einer Passwortänderung die Zeit, in der kompromittierte Zugangsdaten problemlos für Push-Bombing verwendet werden können.
- Überprüfen Sie Ihre MFA-Konfiguration, um sicherzustellen, dass die Zugriffsmuster sinnvoll sind. Es ist möglich, selbst die besten MFA-Lösungen unbeabsichtigt so zu konfigurieren, dass zu viele Zugriffe mit eingeschränkter Überprüfung zugelassen werden.
- Es gelten auch bewährte Vorgehensweisen für Passwörter mit gesundem Menschenverstand. Informieren Sie die Benutzer darüber, warum sie nicht die gleichen Passwörter für verschiedene Dienste verwenden sollten. Auf diese Weise wird im Falle einer Kompromittierung die Angriffsfläche für Push-Bombing eingeschränkt.
- Wenn Sie sich zu sehr auf die Push-Authentifizierung verlassen oder besonders vertrauliche Daten schützen möchten, sollten Sie erwägen, die Häufigkeit von Anfragen nach Einmalpasswörtern (one-time passwords) mit Soft- oder Hard-Token zu erhöhen. OTP-Anfragen gelangen in einem Angriffsszenario immer nur bis zum Angreifer und erreichen nie den Benutzer.
Warnsystem für kompromittierte Anmeldeinformationen
Denken Sie daran, dass das Erkennen einer fehlerhaften Push-Anforderung bedeutet, dass Sie wahrscheinlich auch eine Kompromittierung von Anmeldeinformationen erkannt haben. Selbst wenn ein Benutzer die Push-Anfrage mit „Nein“ beantwortet, sind Sie möglicherweise bereits einem gewissen Risiko ausgesetzt, wenn es einen Ort in Ihrem Unternehmensnetzwerk gibt, an dem eine Kombination aus Benutzername und Kennwort den Zugriff ermöglichen könnte. Wenn Sie eine Erkennung für fehlerhafte Push-Authentifizierungsanforderungen haben, kann dies als Erkennungsmechanismus für kompromittierte Anmeldeinformationen dienen. RSA-Kunden können mit ID Plus risikobasierte Authentifizierung und andere Funktionen verwenden, um Push Bombing zu erkennen und abzuwehren.
