„Push-Bombing-Angriff“ oder „MFA Fatigue“

Das Konzept des „Push-Bombing“-Angriffs oder „MFA Fatigue“ (Multi-Faktor-Authentifizierung Ermüdung) ist eine relativ neue Taktik, die von Cyberkriminellen verwendet wird, um Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) zu umgehen.

Hinweis: Ein aktuelles Angriffsszenario ist hier bei Heise beschrieben!

Bei einem Push-Bombing-Angriff erhält das Opfer eine Flut von MFA-Anfragen, meist in Form von Push-Benachrichtigungen auf ihrem Smartphone oder anderen Geräten. Diese Anfragen sind legitime MFA-Versuche, die vom Angreifer ausgelöst werden, der versucht, sich mit den gestohlenen Anmeldeinformationen des Opfers (beispielsweise Benutzername und Passwort) in ein Konto einzuloggen.

Das Ziel des Angriffs besteht darin, das Opfer zu ermüden oder zu verwirren, sodass es letztendlich eine dieser MFA-Anfragen akzeptiert, vielleicht in der Annahme, es handle sich um einen Fehler oder um die Anfragen zu stoppen. Sobald das Opfer die Anfrage akzeptiert, erhält der Angreifer Zugang zum Konto.

Die Wirkung beim Opfer ist meist eine Kombination aus Verwirrung, Ermüdung und möglicherweise Panik, da es nicht sofort ersichtlich ist, warum diese Anfragen gesendet werden. Dies kann dazu führen, dass das Opfer unüberlegt handelt und die Sicherheitsanfrage bestätigt, ohne zu erkennen, dass es damit einem Angreifer den Zugang ermöglicht.

MFA Fatigue ist besonders heimtückisch, da sie eine der zuverlässigsten Sicherheitsmaßnahmen im Cyberspace – die Multi-Faktor-Authentifizierung – ins Visier nimmt und deren Effektivität durch psychologische Manipulation verringert.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.