MFA-Fatigue (Push Bombing)
Was ist MFA-Fatigue (Push Bombing)?
MFA-Fatigue (Push Bombing)Angriff, bei dem ein Tater mit gultigem Passwort das Opfer mit MFA-Push-Anfragen flutet, bis dieses aus Verwirrung oder Frust eine genehmigt.
MFA-Fatigue, auch Push Bombing, zielt auf push-basierte Multi-Faktor-Authentifizierung. Nach Erbeutung eines gultigen Passworts via Phishing oder Credential Stuffing startet der Angreifer wiederholt Logins und lost eine Flut von Push-Genehmigungen auf dem Smartphone des Opfers aus. Irgendwann tippt der Nutzer auf Genehmigen, um Ruhe zu haben, oder halt die Anfrage fur echt. Bekannte Falle: Uber-Vorfall 2022 und Cisco-Intrusion 2022 (Lapsus$ und EXOTIC LILY). Gegenmassnahmen: Number Matching, kontextreiche Push-Prompts, Rate Limiting, Sperre nach mehreren Ablehnungen sowie Umstieg auf phishing-resistentes FIDO2 oder Passkeys.
● Beispiele
- 01
Uber 2022: Externer Auftragnehmer bestatigt nach Dutzenden Versuchen eine Push-Benachrichtigung - Initial Access.
- 02
Cisco 2022: Vishing plus Push Bombing umgeht die MFA des Corporate-VPN.
● Häufige Fragen
Was ist MFA-Fatigue (Push Bombing)?
Angriff, bei dem ein Tater mit gultigem Passwort das Opfer mit MFA-Push-Anfragen flutet, bis dieses aus Verwirrung oder Frust eine genehmigt. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet MFA-Fatigue (Push Bombing)?
Angriff, bei dem ein Tater mit gultigem Passwort das Opfer mit MFA-Push-Anfragen flutet, bis dieses aus Verwirrung oder Frust eine genehmigt.
Wie funktioniert MFA-Fatigue (Push Bombing)?
MFA-Fatigue, auch Push Bombing, zielt auf push-basierte Multi-Faktor-Authentifizierung. Nach Erbeutung eines gultigen Passworts via Phishing oder Credential Stuffing startet der Angreifer wiederholt Logins und lost eine Flut von Push-Genehmigungen auf dem Smartphone des Opfers aus. Irgendwann tippt der Nutzer auf Genehmigen, um Ruhe zu haben, oder halt die Anfrage fur echt. Bekannte Falle: Uber-Vorfall 2022 und Cisco-Intrusion 2022 (Lapsus$ und EXOTIC LILY). Gegenmassnahmen: Number Matching, kontextreiche Push-Prompts, Rate Limiting, Sperre nach mehreren Ablehnungen sowie Umstieg auf phishing-resistentes FIDO2 oder Passkeys.
Wie schützt man sich gegen MFA-Fatigue (Push Bombing)?
Schutzmaßnahmen gegen MFA-Fatigue (Push Bombing) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- identity-access№ 708
Multi-Faktor-Authentifizierung (MFA)
Authentifizierungsverfahren, das vor der Zugriffsfreigabe mindestens zwei unabhängige Faktoren – meist aus unterschiedlichen Kategorien – verlangt.
- identity-access№ 883
Push-Authentifizierung
Eine MFA-Methode, bei der der Identity Provider eine Anmeldeanfrage an eine vertrauenswürdige Mobil-App schickt, die der Nutzer per Tipp bestätigt oder ablehnt.
- identity-access№ 414
FIDO2
Offener Authentifizierungsstandard der FIDO Alliance, der WebAuthn (Browser-API) und CTAP (Authenticator-Protokoll) für phishing-resistente, passwortlose Anmeldung kombiniert.
- identity-access№ 793
Passkey
Phishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
- attacks№ 1065
Social Engineering
Psychologische Manipulation, mit der Menschen zu Handlungen oder zur Preisgabe vertraulicher Informationen bewegt werden, von denen ein Angreifer profitiert.
- attacks№ 232
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.