Dieser Beitrag wurde erstmals im Jahr 2022 veröffentlicht und wurde jetzt aktualisiert.
Mit jüngste Berichte über erfolgreiche MFA-Sofortbombardierungen, auch bekannt als Push-Bombing- oder MFA-Müdigkeits-Angriffe, hat RSA mehr Anfragen nach praktischen Anleitungen zur Risikominderung erhalten. Wir haben bereits beschrieben, wie Angreifer wiederholte Genehmigungsaufforderungen nutzen, um Benutzer unter Druck zu setzen, einen betrügerischen Anmeldeversuch zu akzeptieren. Dieser Beitrag baut auf dieser Grundlage auf und konzentriert sich auf spezifische RSA ID Plus Konfigurationen, die Sie verwenden können, um verdächtige Muster zu erkennen, Push-Genehmigungen bei erhöhtem Risiko einzuschränken und Ihre Verteidigung gegen MFA-Bombardements zu stärken.
MFA-Sofortbombardierung, auch Push-Bombardierung genannt, oder ein MFA-Ermüdungsangriff, ist, wenn ein Angreifer wiederholt MFA-Genehmigungsanfragen an das Gerät eines Benutzers sendet. Ziel ist es, den Benutzer so lange zu überwältigen, bis er einer Anfrage zustimmt, oft nachdem der Angreifer bereits das Passwort des Benutzers erhalten hat.
Dies funktioniert, weil Push-basierte Multi-Faktor-Authentifizierung verlässt sich darauf, dass ein Benutzer verdächtige Aufforderungen im Moment ablehnt. Faktoren, die eine bewusste Benutzereingabe erfordern, wie z. B. die Eingabe eines einmaligen Passcodes oder die Verwendung eines Phishing-resistenten Authentifikators, sind im Allgemeinen weniger anfällig, da ein Angreifer nicht einfach Genehmigungen spammen kann.
MFA-Prompt-Bombing-, Push-Bombing- und MFA-Müdigkeits-Angriffe beginnen in der Regel, nachdem ein Angreifer einen gültigen Benutzernamen und ein gültiges Passwort erhalten hat. Der Angreifer versucht, sich anzumelden und löst wiederholt Push-basierte MFA-Anfragen an das registrierte Gerät des Benutzers aus. Bei jeder Anfrage wird der Benutzer aufgefordert, den Anmeldeversuch zu genehmigen oder abzulehnen.
Da die Push-Authentifizierung auf Bequemlichkeit ausgelegt ist, können Benutzer den Zugriff mit einem einzigen Tippen genehmigen. Wenn genügend Aufforderungen hintereinander gesendet werden, kann ein abgelenkter oder ermüdeter Benutzer schließlich eine Anfrage genehmigen, so dass der Angreifer den Authentifizierungsprozess abschließen kann.
Die Push-Authentifizierung eignet sich gut für legitime Szenarien, da sie die Notwendigkeit eines physischen Authentifizierungsgeräts überflüssig macht und die Reibung im Vergleich zu Hardware-Tokens oder manuell eingegebenen Einmal-Passcodes verringert. Allerdings verlässt sich dieses "Genehmigen oder Ablehnen"-Modell darauf, dass der Benutzer verdächtige Versuche erkennt und zurückweist, was die Möglichkeit für prompte Bombardierungsangriffe schafft.
Arten von MFA-Sofortbombenangriffen
Während die meisten MFA-Bombardements auf Push-Benachrichtigungen abzielen, gibt es verschiedene Varianten, die Sicherheitsteams kennen sollten:
- Push Bombing (Klassische MFA-Müdigkeit): Wiederholte Push-Benachrichtigungen werden gesendet, bis der Nutzer eine Anfrage genehmigt.
- Hybride Social-Engineering-Angriffe: Nachdem er das Push-Bombing initiiert hat, kontaktiert der Angreifer den Benutzer, gibt sich als IT-Support aus und weist ihn an, die Anfrage zu genehmigen.
- OTP-Flooding-Versuche: In einigen Fällen lösen Angreifer wiederholt Einmal-Passcodes über SMS oder andere Übermittlungskanäle aus und versuchen, den Benutzer zu verwirren oder die Taktik mit Phishing zu kombinieren.
Das Verständnis dieser Variationen hilft Unternehmen, mehrschichtige Schutzmaßnahmen zu entwickeln, anstatt sich allein auf die Wachsamkeit der Benutzer zu verlassen.
Prompt-Bombing-Angriffe sind erfolgreich, weil sie sowohl auf das menschliche Verhalten als auch auf die Technologie abzielen. Wenn Benutzer wiederholt Aufforderungen zur Authentifizierung, Telefonanrufe oder Nachrichten erhalten, zielen Angreifer darauf ab, Verwirrung, Dringlichkeit und routinemäßiges Genehmigungsverhalten zu erzeugen. Deshalb beginnt der Schutz vor MFA-Müdigkeit damit, den Benutzern klare Erwartungen, einfache Meldewege und zuverlässige Möglichkeiten zur Überprüfung verdächtiger Anfragen zu bieten.
Die Benutzer müssen ständig geschult werden, um das Bewusstsein aufrechtzuerhalten
Die Benutzer sollten wissen, dass jede Authentifizierungsanfrage, die sie nicht selbst initiiert haben, als verdächtig zu betrachten ist. Jährliche Schulungen zum Sicherheitsbewusstsein können die Einhaltung der Vorschriften unterstützen, bereiten aber selten auf die Benutzer für schnelllebige Social-Engineering-Versuche. Kurze, wiederholte Anleitungen sind effektiver, da sie zeigen, wie verdächtiges Verhalten in realen Situationen aussieht.
Die Nutzer brauchen eine klare Möglichkeit zu reagieren
Wenn Benutzer eine unerwartete Push-Benachrichtigung oder eine Folgemeldung erhalten, sollten sie genau wissen, was sie als Nächstes tun müssen. Das bedeutet, dass es eine einfache und bekannte Möglichkeit gibt, das Problem zu melden und den Service Desk oder das Sicherheitsteam zu kontaktieren. Je einfacher dieser Prozess ist, desto wahrscheinlicher ist es, dass die Benutzer schnell handeln.
Verifizierung verringert das Social-Engineering-Risiko
Angreifer kombinieren häufig Push-Bombardements mit Anrufen, SMS, E-Mails oder Chat-Nachrichten, um Benutzer unter Druck zu setzen, damit sie eine Anfrage genehmigen. Unternehmen sollten festlegen, wie Support-Teams legitim mit Benutzern in Kontakt treten, und den Mitarbeitern eine vertrauenswürdige Methode an die Hand geben, um die Kommunikation zu überprüfen, bevor sie Maßnahmen ergreifen.
Zu stellende Fragen
Sicherheitsteams sollten die folgenden Fragen berücksichtigen, um sich gegen MFA-Sofortbombenangriffe zu schützen:
- Wissen die Nutzer, wie sie auf eine unerwartete Push-Anforderung reagieren sollen?
- Können Benutzer ein verdächtiges Authentifizierungsereignis schnell melden?
- Wissen die Mitarbeiter, wie sie den Service Desk oder das Sicherheitsteam kontaktieren können?
- Verstehen die Nutzer, wie eine legitime Unterstützung ablaufen sollte?
- Gibt es ein klares Verfahren, um zu überprüfen, ob eine Nachricht, ein Anruf oder eine Aufforderung echt ist?
Bei Prompt-Bombing-Szenarien erzeugen Angreifer in kurzer Zeit wiederholt Push-Genehmigungen. Benutzer verweigern oder ignorieren oft frühe Aufforderungen, aber eine einzige versehentliche Genehmigung kann die Anmeldung abschließen. Das macht eine musterbasierte Erkennung unerlässlich.
Achten Sie auf Indikatoren wie:
- Wiederholte Push-Verweigerungen oder Timeouts für denselben Benutzer innerhalb eines kurzen Zeitfensters
- Mehrere MFA-Eingaben in schneller Folge, insbesondere außerhalb des normalen Anmeldeverhaltens
- Anmeldeversuche von unbekannten Geräten, IP-Adressen oder Standorten die mit demselben Konto verbunden sind
- Ein Anstieg der Push-Aktivitäten bei mehreren Benutzern, was auf eine breitere Kampagne hindeuten kann
Ein einzelner verweigerter Push deutet nicht auf einen Angriff hin. Mehrere Verweigerungen oder Zeitüberschreitungen, die sich häufen, insbesondere wenn sie mit anderen Risikosignalen einhergehen, sollten eine Untersuchung auslösen.
Erkennung von Prompt-Bombardements in RSA ID Plus
Jedes Authentifizierungsereignis in RSA ID Plus wird mit detaillierten Ereignisdaten protokolliert, die zur Identifizierung prompter Bombardierungsmuster verwendet werden können. Sicherheitsteams sollten auf wiederholtes oder abnormales Auftreten von Ereignissen achten, wie z. B.:
- 702 - Genehmigung der Authentifizierung fehlgeschlagen: Zeitüberschreitung bei der Benutzerantwort
- 703 - Genehmigungsauthentifizierung fehlgeschlagen: Benutzer verweigert Genehmigung
- 802 - Biometrische Geräteauthentifizierung fehlgeschlagen: Zeitüberschreitung
- 803 - Biometrische Geräteauthentifizierung fehlgeschlagen
Wenn diese Ereignisse nacheinander für denselben Benutzer auftreten, können sie auf einen aktiven MFA-Bombardierungsversuch hinweisen. Die Verknüpfung dieser Protokollmuster mit Geräte-, Standort- und Vertrauenssignalen verbessert die Genauigkeit und hilft Teams, zu reagieren, bevor eine erfolgreiche Genehmigung erfolgt.
Ein wirksamer Schutz erfordert mehr als die Aufforderung an die Benutzer, unbekannte Aufforderungen nicht zuzulassen. Unternehmen sollten Benutzerschulung, stärkere Faktoroptionen und Überwachung kombinieren, um Missbrauchsmöglichkeiten zu verringern.
Push-basierte MFA ist anfällig, weil sie davon abhängt, dass ein Benutzer im Moment die richtige Entscheidung trifft. Faktoren, die eine bewusste Benutzeraktion erfordern, wie einmalige Passcodes oder phishing-resistente Authentifikatoren, sind im Allgemeinen weniger anfällig für wiederholte Genehmigungsanfragen.
Zu den wichtigsten Verteidigungsmaßnahmen gehören:
- Bringen Sie den Benutzern bei, unerwartete Aufforderungen abzulehnen, sie sofort zu melden und gegebenenfalls die Anmeldedaten zurückzusetzen.
- Bevorzugen Sie stärkere Faktoren für Anwendungen, Benutzer und Zugriffsszenarien mit höherem Risiko.
- Überwachung auf wiederholte verweigerte oder zeitlich begrenzte Aufforderungen und Alarmierung bei verdächtigen Mustern.
- Sichere MFA-Registrierung und -Wiederherstellung, damit Angreifer kein neues Gerät registrieren können, nachdem sie Zugang erhalten haben.
- Benutzer benachrichtigen, wenn Authentifikatoren hinzugefügt, entfernt oder geändert werden.
- Untersuchen Sie Anzeichen für kompromittierte Anmeldedaten und überprüfen Sie, ob MFA-Richtlinien zu viele Zugriffe mit begrenzter Überprüfung zulassen.
Wenn diese Kontrollen zusammenwirken, können Unternehmen ihre Anfälligkeit für prompte Bombenangriffe verringern.
Unter RSA ID Plus, Die Authentifizierungsmethoden werden den Sicherheitsstufen zugeordnet, und Administratoren können Richtlinien erstellen, die kontextabhängig festlegen, welche Sicherheitsstufe erforderlich ist. Bei erhöhtem Risiko können die Richtlinien stärkere Authentifizierungsmethoden verlangen, anstatt eine Push-Freigabe zuzulassen.
RSA ID Plus unterstützt auch einen dynamischeren Ansatz durch Identität Vertrauen. Das Vertrauensmodul bewertet die Authentifizierungsversuche in Echtzeit und gibt einen hohen oder niedrigen Vertrauenswert an. Dieses Signal kann in Richtlinienentscheidungen verwendet werden, um Push-Genehmigungen zuzulassen, wenn das Vertrauen hoch ist, und eine Step-up-Authentifizierung zu verlangen, wenn das Vertrauen niedrig ist.
Für Benutzer, die als besonders risikoreich eingestuft wurden, ermöglicht die Liste der risikoreichen Benutzer strengere Kontrollen. Sicherheitstools können einen Benutzer aufgrund von Warnungen oder verdächtigen Aktivitäten als hohes Risiko einstufen. Richtlinien können dann den Zugriff verweigern oder höhere Sicherheitsfaktoren verlangen, um die Anfälligkeit für MFA-Ermüdungserscheinungen zu verringern.
Wenn Sie eine MFA-Anfrage genehmigt haben, die Sie nicht initiiert haben, sollten Sie dies als potenzielle Gefährdung Ihres Kontos betrachten. Melden Sie den Vorfall sofort Ihrem Sicherheitsteam, ändern Sie dann Ihr Passwort und überprüfen Sie die jüngsten Anmeldeaktivitäten auf verdächtige Sitzungen oder Geräte. Ihr Sicherheitsteam sollte außerdem aktive Sitzungen sperren, sich vergewissern, dass keine neuen Authentifikatoren angemeldet wurden, und vor der Wiederherstellung des Zugriffs eine Step-up-Authentifizierung verlangen.
MFA-Prompt-Bombing, auch Push-Bombing oder MFA-Müdigkeitsangriff genannt, bedeutet, dass ein Angreifer wiederholt MFA-Genehmigungsanfragen an das Gerät eines Benutzers sendet. Ziel ist es, den Benutzer zu überwältigen, bis er eine Anfrage genehmigt, oft nachdem der Angreifer das Passwort des Benutzers erhalten hat.
Genehmigen Sie sie nicht. Lehnen Sie die Anfrage ab, wenn Sie diese Möglichkeit haben, und melden Sie sie so schnell wie möglich Ihrem Sicherheitsteam. Wenn Sie wiederholte Aufforderungen erhalten, halten Sie an und überprüfen Sie, ob jemand versucht, sich bei Ihrem Konto anzumelden. Setzen Sie vorsichtshalber Ihr Passwort zurück und befolgen Sie die Richtlinien Ihres Unternehmens zur Überprüfung der Geräte- und Kontosicherheit.
Die Erkennung erfolgt in der Regel anhand von Mustern. Achten Sie auf wiederholte Push-Verweigerungen oder Timeouts für denselben Benutzer innerhalb eines kurzen Zeitraums, auf häufige MFA-Aufforderungen außerhalb des normalen Anmeldeverhaltens oder auf Anmeldeversuche von unbekannten Geräten oder Standorten. Diese Muster sind stärkere Signale, wenn sie mit anderen Risikoindikatoren korrelieren.
Verlassen Sie sich nicht mehr allein auf Benutzergenehmigungen. Verwenden Sie Richtlinien, die einschränken, wann Push-Authentifizierung erlaubt ist, verlangen Sie eine Step-up-Authentifizierung, wenn das Risiko erhöht ist, und überwachen Sie wiederholte verweigerte oder zeitlich begrenzte Anfragen. Die Sicherung der MFA-Registrierung und -Wiederherstellung ist ebenfalls wichtig, damit Angreifer kein neues Gerät registrieren können, nachdem sie Zugang erhalten haben.
Push-MFA kann effektiv sein, ist aber anfälliger für Ermüdungstaktiken, da sie davon abhängt, dass ein Benutzer schnell die richtige Entscheidung trifft. Unternehmen können das Risiko verringern, indem sie Push mit risikobasierten Kontrollen, stärkeren Authentifizierungsoptionen für risikoreichere Zugriffe und Warnmeldungen bei abnormalen Aufforderungsmustern kombinieren.
One-Time-Passcodes sind im Allgemeinen weniger anfällig für Prompt-Bombing, da der Angreifer keine Genehmigungen per Spam versenden kann. Allerdings können OTP-Methoden je nach Übermittlungsmethode immer noch durch Phishing oder Abfangen angegriffen werden. Viele Unternehmen verwenden OTP und Phishing-resistente Authentifikatoren als zusätzliche Optionen, wenn ein erhöhtes Risiko besteht.
Ja, das ist ein üblicher nächster Schritt. Nachdem sie sich Zugang verschafft haben, können Angreifer versuchen, einen neuen Authentifikator zu registrieren, um die Persistenz zu erhalten. Zu den Schutzmaßnahmen gehören die Sicherung von Registrierungsabläufen, die Forderung nach höherer Sicherheit bei Geräteänderungen und die Benachrichtigung von Benutzern, wenn Authentifikatoren hinzugefügt oder entfernt werden.
