Haben Sie schon einmal von MFA-Müdigkeit oder Benachrichtigungsbombardements gehört? Falls nicht, sollten Sie unbedingt weiterlesen. Erfahren Sie mehr über diese neue Taktik und wie Cyberkriminelle sie einsetzen.Auf diese Weise wissen Sie, was zu tun ist, falls Sie die unangenehme Erfahrung machen sollten, Opfer eines MFA-Müdigkeitsanfalls zu werden.
MFA-Erschöpfung: Woraus besteht ein MFA-Erschöpfungsanfall?
Die Multi-Faktor-Authentifizierung (MFA) wird bereits seit einiger Zeit erfolgreich zur Stärkung der digitalen Sicherheit eingesetzt. Es hat sich gezeigt, dass Passwörter allein bieten keinen ausreichenden Schutz mehr.Nun ist es unerlässlich, eine zweite (und sogar dritte) Verifizierungsebene hinzuzufügen: eine SMS, eine Push-Benachrichtigung oder einen physischen Schlüssel.
Haben Sie eigentlich schon die Multi-Faktor-Authentifizierung für Ihre Benutzerkonten aktiviert? Falls Sie sich damit noch nicht so gut auskennen, können Sie den Artikel lesen. So funktioniert die Zwei-Schritt-Authentifizierung, die Sie jetzt aktivieren sollten, um Ihre Sicherheit zu erhöhen.Dies stellt jedoch eine sehr wirksame zusätzliche Maßnahme dar. Das Außenministerium ist nicht unfehlbar.Dies wurde bei den jüngsten MFA-Müdigkeitsangriffen, auch bekannt als Benachrichtigungsbombenangriffe, sehr deutlich.
Was ist MFA-Müdigkeit? Stellen Sie sich folgende Szene vor: Es ist spät abends, und Sie entspannen sich auf dem Sofa und schauen Ihre Lieblingssendung. Plötzlich vibriert Ihr Smartphone unaufhörlich. Sie schauen auf den Bildschirm und sehen eine Benachrichtigung nach der anderen: „Versuchen Sie, sich einzuloggen?„Du ignorierst das erste und das zweite; aber Immer wieder trifft dieselbe Benachrichtigung ein: dutzende Male! In einem Anflug von Frustration, nur um dem Hämmern ein Ende zu setzen, drücken Sie auf „Genehmigen“.
Wie der Benachrichtigungsbombenangriff funktioniert
Sie haben gerade einen Anfall von MFA-Müdigkeit erlebt. Aber wie ist das möglich?
- Irgendwie hat der Cyberkriminelle Ihren Benutzernamen und Ihr Passwort erlangt.
- Nächste, wiederholt versucht, sich einzuloggen bei einem von Ihnen genutzten Dienst. Selbstverständlich sendet das Authentifizierungssystem eine Push-Benachrichtigung an Ihre MFA-App.
- Das Problem entsteht, wenn der Angreifer mithilfe eines automatisierten Werkzeugs Es generiert innerhalb weniger Minuten Dutzende oder sogar Hunderte von Anmeldeversuchen..
- Dies führt dazu, dass Ihr Mobiltelefon mit Benachrichtigungen überflutet wird, in denen eine Genehmigung angefordert wird.
- Um die Flut an Benachrichtigungen zu stoppen, klicken Sie auf "Genehmigen" Und das war's: Der Angreifer übernimmt die Kontrolle über Ihr Konto.
Warum ist es so effektiv?
Das Ziel von MFA Fatigue ist nicht, die Technologie zu überlisten. Vielmehr zielt es darauf ab, Erschöpfen Sie Ihre Geduld und Ihren gesunden MenschenverstandBei näherer Betrachtung ist der Mensch das schwächste Glied in der Kette Ihrer Sicherheitsvorkehrungen. Deshalb ist die Flut an Benachrichtigungen darauf ausgelegt, Sie zu überfordern, zu verwirren und zum Zögern zu bringen … bis Sie den falschen Knopf drücken. Ein einziger Klick genügt.
Ein Grund für die hohe Wirksamkeit von MFA Fatigue ist, dass Das Genehmigen einer Push-Benachrichtigung ist unglaublich einfach.Ein einziger Fingertipp genügt, und oft muss das Telefon nicht einmal entsperrt werden. Manchmal ist dies die einfachste Lösung, um das Gerät wieder in den Normalzustand zu versetzen.
Und es wird noch schlimmer, wenn Der Angreifer kontaktiert Sie und gibt sich als Mitarbeiter des technischen Supports aus.Sie werden Ihnen wahrscheinlich ihre „Hilfe“ anbieten, um das „Problem“ zu lösen, und Sie drängen, die Benachrichtigung zu bestätigen. Dies war der Fall bei einem Angriff auf Microsoft im Jahr 2021, bei dem sich die Angreifer als IT-Abteilung ausgaben, um das Opfer zu täuschen.
MFA-Müdigkeit: Benachrichtigungsflut und wie man sie stoppt
Gibt es also eine Möglichkeit, der MFA-Müdigkeit entgegenzuwirken? Ja, zum Glück gibt es bewährte Methoden, die der Flut an Benachrichtigungen entgegenwirken. Sie erfordern nicht die Abschaffung der Multi-Faktor-Authentifizierung, sondern vielmehr… Setzen Sie es intelligenter umDie wirksamsten Maßnahmen sind im Folgenden aufgeführt.
Genehmigen Sie niemals eine Benachrichtigung, die Sie nicht angefordert haben.
Ganz egal, wie müde oder frustriert Sie sind, Sie sollten niemals eine Benachrichtigung genehmigen, die Sie nicht angefordert haben.Das ist die goldene Regel, um zu verhindern, dass Sie durch MFA-Tricks zur MFA-Müdigkeit verleitet werden. Wenn Sie sich nicht bei einem Dienst anmelden möchten, ist jede MFA-Benachrichtigung verdächtig.
In diesem Zusammenhang sollte man auch bedenken, dass Kein Dienstleister wird Sie kontaktieren, um Ihnen bei der Lösung von „Problemen“ zu „helfen“.Dies gilt umso mehr, wenn die Kontaktaufnahme über ein soziales Netzwerk oder eine Messaging-App wie WhatsApp erfolgt. Verdächtige Benachrichtigungen sollten umgehend der IT- oder Sicherheitsabteilung Ihres Unternehmens oder Dienstes gemeldet werden.
Vermeiden Sie es, Push-Benachrichtigungen als einzige Methode der Zwei-Faktor-Authentifizierung zu verwenden.
Ja, Push-Benachrichtigungen sind praktisch, aber sie sind auch anfällig für diese Art von Angriffen. Es ist vorzuziehen, robustere Methoden anzuwenden. als Teil der Zwei-Faktor-Authentifizierung. Zum Beispiel:
- TOTP-Codes (zeitbasierte Einmalpasswörter), die von Anwendungen wie Google Authenticator oder Auth.
- Physische Sicherheitsschlüssel, als YubiKey oder Titan-Sicherheitsschlüssel.
- Zahlenbasierte AuthentifizierungBei dieser Methode müssen Sie eine Nummer eingeben, die auf dem Anmeldebildschirm erscheint, wodurch automatische Genehmigungen verhindert werden.
Implementieren Sie Beschränkungen und Warnmeldungen für Authentifizierungsversuche.
Erkunden Sie das von Ihnen verwendete Authentifizierungssystem und Versuchslimits und Benachrichtigungen aktivierenAufgrund der zunehmenden Zahl gemeldeter Fälle von MFA-Müdigkeit bieten immer mehr MFA-Systeme Optionen für Folgendes an:
- Versuche vorübergehend blockieren nach mehreren aufeinanderfolgenden Ablehnungen.
- Senden von Benachrichtigungen an das Sicherheitsteam, wenn innerhalb kurzer Zeit mehrere Benachrichtigungen festgestellt werden.
- Registrierung und Prüfung Alle Authentifizierungsversuche zur späteren Analyse (Zugriffshistorie).
- Erfordert einen zweiten, stärkeren Faktor wenn der Anmeldeversuch von einem ungewöhnlichen Ort ausgeht.
- Zugriff automatisch blockieren wenn das Verhalten des Benutzers ungewöhnlich ist.
Kurz gesagt: Bleiben Sie wachsam! Die Aktivierung der Multi-Faktor-Authentifizierung bleibt eine unerlässliche Maßnahme. Um Ihre Online-Sicherheit zu schützen. Aber unterschätzen Sie das nicht. Wenn Sie Zugriff haben, kann es jeder, wenn er Sie austrickst. Deshalb zielen Angreifer auf Sie ab: Sie werden Sie so lange belästigen, bis Sie ihnen Zugang gewähren.
Lassen Sie sich nicht von der MFA-Müdigkeit überwältigen! Geben Sie der Benachrichtigungsflut nicht nach. Melden Sie verdächtige Anfragen und aktivieren Sie zusätzliche Beschränkungen und Warnmeldungen.Auf diese Weise ist es unmöglich, dass die Hartnäckigkeit eines Angreifers Sie in den Wahnsinn treibt und Sie dazu bringt, den falschen Knopf zu drücken.
Schon seit meiner Kindheit bin ich von allem Wissenschaftlichen und Technologischen fasziniert, insbesondere von den Fortschritten, die unser Leben einfacher und angenehmer machen. Ich liebe es, mich über die neuesten Nachrichten und Trends auf dem Laufenden zu halten und meine Erfahrungen, Meinungen und Tipps zu den von mir verwendeten Geräten und Gadgets zu teilen. Das führte mich vor etwas mehr als fünf Jahren dazu, Webautorin zu werden, mit Schwerpunkt auf Android-Geräten und Windows-Betriebssystemen. Ich habe gelernt, komplexe Sachverhalte einfach und verständlich zu erklären, damit meine Leser sie leicht nachvollziehen können.