Das Konzept des „Push-Bombing“-Angriffs oder „MFA Fatigue“ (Multi-Faktor-Authentifizierung Ermüdung) ist eine relativ neue Taktik, die von Cyberkriminellen verwendet wird, um Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
Hinweis: Ein aktuelles Angriffsszenario ist hier bei Heise beschrieben!
Bei einem Push-Bombing-Angriff erhält das Opfer eine Flut von MFA-Anfragen, meist in Form von Push-Benachrichtigungen auf ihrem Smartphone oder anderen Geräten. Diese Anfragen sind legitime MFA-Versuche, die vom Angreifer ausgelöst werden, der versucht, sich mit den gestohlenen Anmeldeinformationen des Opfers (beispielsweise Benutzername und Passwort) in ein Konto einzuloggen.
Das Ziel des Angriffs besteht darin, das Opfer zu ermüden oder zu verwirren, sodass es letztendlich eine dieser MFA-Anfragen akzeptiert, vielleicht in der Annahme, es handle sich um einen Fehler oder um die Anfragen zu stoppen. Sobald das Opfer die Anfrage akzeptiert, erhält der Angreifer Zugang zum Konto.
Zum Thema Hacking bei uns:
- Hackangriff bzw. Cyberangriff – Was tun?
- Wie schütze ich mich vor einem Hackangriff?
- Phishing-Seiten-Installation am Beispiel ZPhisher
- Bin ich von einem Hackangriff betroffen?
- Online-Betrug & Fake-Shops: Was tun?
- Glossar zum Cybercrime mit klassischen Angriffsszenarien
- Intime Fotos veröffentlicht – was kann ich tun?
- Übersicht: IT-Sicherheit
- Strafbarkeit der Suche nach Sicherheitslücken
Die Wirkung beim Opfer ist meist eine Kombination aus Verwirrung, Ermüdung und möglicherweise Panik, da es nicht sofort ersichtlich ist, warum diese Anfragen gesendet werden. Dies kann dazu führen, dass das Opfer unüberlegt handelt und die Sicherheitsanfrage bestätigt, ohne zu erkennen, dass es damit einem Angreifer den Zugang ermöglicht.
MFA Fatigue ist besonders heimtückisch, da sie eine der zuverlässigsten Sicherheitsmaßnahmen im Cyberspace – die Multi-Faktor-Authentifizierung – ins Visier nimmt und deren Effektivität durch psychologische Manipulation verringert.
- Rechtliche Implikationen der Weigerung zur Rücknahme mangelhafter Ware - 27. April 2024
- Digitale-Dienste-Gesetz (DDG) - 27. April 2024
- Data Governance Act - 26. April 2024