Hacker nutzen MFA-Müdigkeit während der Feiertage aus

Die Multifaktor-Authentifizierung (MFA) ist der Goldstandard in Büros auf der ganzen Welt. Wir alle kennen die Drill-Funktion: Sie verwenden Ihren Benutzernamen (häufig und ungewollt Ihre E-Mail-Adresse) und vielleicht als Passwort den Namen Ihres ersten Hundes und die letzten vier Ziffern Ihrer Sozialversicherungsnummer.

Nicht sehr täuschend, aber oft ist der Benutzer nicht zu besorgt. Ihrer Meinung nach wissen sie, dass, wenn der Hacker seine Anmeldeinformationen mithilfe verschiedener Tools oder Techniken herausfindet, er sich trotzdem in der zweiten Sicherheitsebene von MFA zurechtfinden muss.

Vorsicht vor „Push-Bombing“

Was der Benutzer jedoch möglicherweise nicht bemerkt, ist, dass Hacker viele bewährte Methoden entwickelt haben, um dies zu erreichen, darunter Social Engineering-Angriffe, Spear-Phishing- und DDoS-Angriffe. Und es gibt noch ein anderes Lieblingstool, das Hackern zur Verfügung steht, und es hängt davon ab, dass Benutzer müde, erschöpft oder genervt genug sind, um „nachzugeben“. Und wer ist nicht müde oder erschöpft im Endspurt, um das vierte Quartal und die Weihnachtsgeschenke abzuschließen? Die Technik, die Hacker zu dieser Jahreszeit gerne anwenden, wird „Push-Bombing“ genannt.

Die Cybersecurity and Infrastructure Security Agency (CISA) beschreibt Push-Bombing als eine Situation, in der der Benutzer mit Push-Benachrichtigungen bombardiert wird, bis er auf die Schaltfläche "Akzeptieren" klickt.

„Es ist ein überraschend effektives Tool, obwohl es sehr Low-Tech und Brute-Force-basiert“, sagt Sandy Duncan, Cybersicherheitsexpertin in Cincinnati, Ohio. Duncan fügt hinzu, dass die Hacker verschiedene Faktoren ausnutzen, wenn sie eine Push-Bomben-Kampagne einsetzen.

"Der größte Anziehungspunkt von Push-Bombing ist, dass es günstig ist. Wenn Sie sich für die ungünstigste Tageszeit für einen solchen Angriff entscheiden, sind Ihre Erfolgschancen größer", erläutert Duncan. Duncan stellt fest, dass dies einige der spezifischen Tageszeiten sind, auf die Push-Bomber gerne abzielen:

Beginn des Arbeitstages: „Es gibt keinen größeren Aufwand, als Ihren Arbeitstag beginnen zu wollen und eine Menge Anweisungen durchgehen zu müssen“, betont Duncan.

Kurz vor dem Mittagessen: „Wer möchte nicht seine Arbeit beenden und zum Mittagessen gehen?“ Fragt Duncan.

Mitten in der Nacht: „Ob Sie es glauben oder nicht, das ist effektiv“, sagt Duncan. „Manche Leute, darunter auch wichtige Mitarbeiter und andere checken E-Mails oder melden sich nachts an, und dann gibt es Leute, die einfach einchecken und dann wieder schlafen wollen. Wenn sie eine Menge Aufforderungen erhalten, könnten sie versucht sein, nachzugeben, damit sie wieder einschlafen können.“

Angriffe mit ordnungsgemäßen Schulungen und präventiven Techniken

Das Push-Bombing-Werkzeug ist während des Sprints vor den Feiertagen so effektiv, dass die CISA Push-Bombing in ihre Liste der MFA-Bedrohungen aufgenommen hat, die es zu beobachten gilt. Um eine Ebene zur Verhinderung von Push-Bombardierungen hinzuzufügen, empfiehlt die CISA ein tokenbasiertes OTP.

Laut der Warnung der CISA:

"In der mobilen Push-Benachrichtigung akzeptiert der Benutzer eine Push-Aufforderung, die an die mobile Anwendung gesendet wird, um eine Zugriffsanfrage zu genehmigen. Wenn der Zahlenabgleich implementiert ist, gibt es einen zusätzlichen Schritt zwischen dem Empfang und der Annahme der Aufforderung: Der Benutzer muss Zahlen von der Identitätsplattform in die Anwendung eingeben, um die Authentifizierungsanfrage zu genehmigen.“

MFA entwickelt sich weiter, Duncan sagt, aber das sind die Techniken der Hacker.

"Die menschliche Natur war schon immer der schwächste Cybersicherheitslink", fügt Duncan hinzu. „Hacker wissen, dass die Leute müde und genervt werden und manchmal taub gegenüber den ständigen MFA-Anfragen werden. Wenn sie erschöpft genug sind, verlassen sich Hacker darauf, dass Benutzer ihre Informationen eingeben, um die Aufforderung zu löschen.“

Also, wie vermeiden Sie, Opfer einer Push-Bomben-Kampagne zu werden? Duncan empfiehlt die folgenden Schritte:

Schulung von Benutzern

Je mehr jemand weiß, desto mehr können sie wachsam sein. „Manche Leute wissen nicht einmal, dass das eine Sache ist, und sie gehen einfach davon aus, dass die ständigen Aufforderungen eine gewisse übermuskuläre Sicherheit bieten, und tun, was sie können, um sie los zu werden“, sagt Duncan. Also, Benutzerschulungen sind der billigste Weg, um Menschen auf die Gefahr aufmerksam zu machen, die von Push-Bombenangriffen ausgehen.

Anzahl übereinstimmender Werte

Dies ist eine effektive Methode, um MFA-Erschöpfung und Push-Bomben-Kampagnen abzuwehren. Number Matching ist eine Einstellung, die den Benutzer zwingt, Zahlen von der Identitätsplattform in seine App einzugeben, um die Authentifizierungsanfrage zu genehmigen. Die Website von CISA bietet einen Einblick in die Implementierung von Nummernabgleich in MFA-Anwendungen. Wenn Sie sich die Abbildungen 3 und 4 ansehen, zeigen sie die Benutzeransicht eines Anmeldebildschirms der Identitätsplattform, auf dem Nummern abgeglichen werden. Microsoft Number Matching und DUO sind zwei der beliebtesten.

„Natürlich ist diese Technik nicht vor Phishing gefeit, aber sie ist eine gute Notlösung. Leider holen sie jedes Mal auf, wenn wir den Hackern einen Schritt voraus zu sein scheinen „, sagt Duncan.

Ermöglichen Sie Zero Trust Access auf all Ihre Apps und Daten von jedem Gerät und Standort aus

Dieser Artikel erschien ursprünglich auf SmarterMSP.com. Abonnieren Sie SmarterMSP.com, um die neuesten Erkenntnisse, Neuigkeiten und Informationen zur Cybersecurity zu erhalten, die Ihnen bei der Verbesserung Ihres MSP-Geschäfts helfen.