Immer mehr Systeme werden zusätzlich zum Passwort mit einem weiteren Authentifizierungsschritt (meist per Smartphone-App) geschützt. Dieses Prinzip der Multifaktor-Authentifizierung (MFA) erhöht das Sicherheitsniveau deutlich, kann aber in der Praxis auch umständlich und anstrengend sein. Wir haben bereits mehrfach MFA als zusätzliche Sicherheitsmaßnahme neben dem reinen Passwortschutz empfohlen. Die zusätzlichen Authentifizierungsmaßnahmen sind aufgrund massenhafter Passwort-Diebstähle inzwischen ein Muss. Kriminellen steht ein ganzes Arsenal erprobter Techniken zur Verfügung, um Nutzer dahingehend auszutricksen, ihre Login-Daten einzugeben. Diese werden dann für fortschrittliche kriminelle Operationen wie Ransomware-Angriffe oder Datendiebstahl verwendet.
Neben Tricksereien stehen jedoch auch noch jede Menge technische Lösungen bereit, mit denen sich (schwache) Passwörter knacken lassen. In einigen Fällen wurden sogar ganze Datenbanken mit Anmeldeinformationen gestohlen. MFA kommt daher praktisch überall zum Einsatz, um zu gewährleisten, dass Kriminelle mit diesen geknackten Passwörtern nichts anfangen können. Umso größer ist die Motivation der Hacker, diesen zusätzlichen Sicherheitsmechanismus zu umgehen.
Nun gibt es leider eine immer wieder erfolgreiche Social-Engineering-Taktik, um MFA-Tools zu umgehen – MFA Fatigue-Angriffe. Wie gefährlich diese sein können, zeigt ein aktuelles Beispiel. Laut Medienberichten spielte dieses Vorgehen eine wichtige Rolle beim Cyberangriff auf Uber, der erst vor kurzem bekannt wurde.
Die gute Nachricht lautet: Diese Angriffe sind vergleichsweise einfach zu durchschauen, wenn man weiß, wonach man Ausschau halten muss.
Multifaktor-Authentifizierung ernst nehmen!
Dieses Prinzip der Multifaktor-Authentifizierung (MFA) erhöht das Sicherheitsniveau deutlich, kann aber in der Praxis auch umständlich und anstrengend sein. Das machen sich Cyberkriminelle zunutze, um die Authentifizierung zu umgehen:
Sie fordern wiederholt und teilweise automatisiert die nötige Authentifizierung an, bis das Opfer aus purer „Ermüdung“ irgendwann bestätigt. In einigen Fällen tätigen sie zusätzlich gefälschte Anrufe, in denen sich ein angeblich neuer „IT-Kollege“ für die Unannehmlichkeiten, die durch einen Softwarefehler entstanden wären, entschuldigt und erklärt, man möge bitte einmalig bestätigen, um das System wieder zurückzusetzen.
Solche Angriffe finden vorwiegend in den Abendstunden und am Wochenende statt. Der unter Druck gesetzte Mitarbeiter erreicht dann oft über die normalen Kanäle niemanden mehr. Die Täter besitzen zudem meist personenbezogenes Wissen und können deshalb sehr überzeugend argumentieren. So wird das Opfer beispielsweise nicht darum gebeten, Informationen preiszugeben, sondern erhält sogar ohne Aufforderung firmeninterne Details, welche die Täter zur vermeintlichen Verifizierung ihrer Rolle nutzen. Bestätigt ein Nutzer nun die Authentifizierung entweder aufgrund der telefonischen Bitte oder einfach aus Genervtheit, hören die unangenehmen Aufforderungen auf. User neigen dann dazu, den Vorfall als menschlichen Fehler eines neuen Kollegen zu verstehen und die Sache auf sich beruhen zu lassen.
Erkennung und Gegenmaßnahmen
Solche MFA-Fatigue-Angriffe sind relativ leicht zu erkennen. Eine Authentifizierungsanfrage wird nur dann abgesendet, wenn Sie zuvor das korrekte Passwort in ein System eingegeben haben. Wenn Sie die Abfrage nicht selbst gestartet haben, bedeutet dies, jemand anderes hat es getan und ist somit im Besitz Ihres Passworts. Die logische Konsequenz ist daher, dieses umgehend zu ändern. Nutzen Sie dafür unbedingt die üblichen Prozesse und keinesfalls einen möglichen „neuen Link“, den Ihnen ein unbekannter Kollege vom IT-Support gerade geschickt hat. Melden Sie zudem den Vorfall Ihrer IT-Abteilung!
Der Erfolg von solchen Social-Engineering-Attacken liegt darin, dass Menschen damit überrumpelt und durch psychologische Tricks am rationalen Denken gehindert werden. Dies kann durch die Drohung geschehen, dass man sonst den Zugriff auf Daten verliere, ebenso wie durch die Entschuldigung eines jungen Menschen, der angeblich einen Fehler gemacht hat und nun unbürokratische Hilfe benötigt. Das Wissen, dass solche Attacken stattfinden, ist deshalb bereits ein wichtiger Schritt, um sich dagegen zu wehren.
Es sei noch einmal wiederholt: Eine einfache Änderung des Passworts beendet in der Regel bereits das Problem.
Dieser Beitrag (wie auch schon frühere) ist zuerst im LANline Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.