Anfang des Jahres 2022 fand bei dem Unternehmen Uber ein folgenschwerer Cyber Security Angriff statt. Bei diesem Angriff wurden interne Systeme lahmgelegt, was zu schwerwiegenden Auswirkungen auf die interne Kommunikation sowie technische Systeme geführt hat.
Wie kam es zu diesem Angriff?
Gemäß eines Berichts der New York Times haben Hacker der Gruppe „Lapsus$“ die Methode des Social Engineering genutzt, um an einen hochrangigen Mitarbeiter heranzukommen. Nachdem sie seine Handynummer herausgefunden hatten, kontaktierten sie ihn per WhatsApp und gaben sich als Uber IT Mitarbeitende aus. Dabei nutzten sie Pishing-Methoden um das Unternehmenspasswort des Nutzers herauszubekommen.
Selbstverständlich hat Uber entsprechende Maßnahmen getroffen, sodass Nutzende sich nur über die sogenannte Multi-Faktor-Authentifizierung anmelden können. Bei der Multi-Faktor-Authentifizierung erfolgt die Anmeldung nach Eingabe des Benutzernamens und des Passworts über einen sogenannten zweiten Faktor. Dies kann etwa eine SMS, ein Anruf auf einem Telefon oder aber eine Push-Notification auf eine Authenticator App sein.
Wenn ein Nutzer sich anmeldet, dann wird im Regelfall nach Eingabe von Passwort und Benutzernamen über den zweiten Faktor die Freigabe zum Account erreicht. Auf dem Handy wird dann einfach eine Freigabe erteilt und auf dem Rechner oder im Browser erfolgt dann das Login.
Die Hacker nutzten die Multi-Faktor-Authentifizierung allerdings, um den Nutzer zu ermüden. Sie sendeten immer wieder über Skripte automatisierte Anmeldeversuche, die der Uber Mitarbeiter an seinem Handy immer wieder ablehnte. Tatsächlich war der Mitarbeiter offensichtlich so genervt, dass er letztendlich doch eine Authentifizierung über die Authenticator App freigab. So hatten die Angreifenden ab diesem Moment Zugriff auf den Account des Nutzers und konnten sich Zugang zum Unternehmensnetzwerk und sensiblen Daten verschaffen.
Wie schütze ich mich vor MFA Fatigue Angriffen?
Diese Art des Angriffs wird MFA Fatigue genannt. Das Opfer wird dabei so häufig mit einer Authentifizierungs-Nachricht belästigt, bis er schließlich aus purer „Ermüdung“ die Anfrage freigibt. Teilweise wird das Opfer auch mit einem gefälschten Anruf ausgetrickst. In diesem entschuldigt sich ein angeblich neuer „IT-Kollege“ für den Softwarefehler und bittet darum, einmalig zu bestätigen, um das System wieder zurückzusetzen.
Angriffe dieser Art finden vorwiegend in den Abendstunden oder am Wochenende statt. Der betroffene Mitarbeitende kann dann oftmals über die üblichen Kanäle niemanden mehr aus der IT erreichen. Die Täter wissen meist auch gut über personenbezogene Daten Bescheid und können deshalb sehr überzeugend argumentieren. Das Opfer wird zum Beispiel nicht dazu aufgefordert, Informationen preiszugeben, sondern erhält ohne Aufforderung firmeninterne Details vom Täter, um seine eigene Rolle zu verifizieren.
Dieses Vorgehen wird Social Engineering genannt.
Möglichst viele firmeninterne Informationen werden im Vorfeld zusammengetragen, um auf alle Eventualitäten durch Fragen des anzugreifenden Nutzers reagieren zu können. Ziel ist, ihn im Glauben zu lassen, dass alles korrekt ist. Bestätigt ein Nutzer die Authentifizierung entweder aufgrund der telefonischen Bitte oder aus Genervtheit, hören diese belästigenden Aufforderungen auf. Das Misstrauen des Nutzers ist nur selten geweckt, sodass der Vorfall eher als menschlicher Fehler eines neuen Kollegen verstanden und nicht weiter nachgegangen wird.
Dabei sind MFA Fatigue Angriffe eher leicht zu erkennen
- Sie finden meist abends oder am Wochenende statt
- Die Multi-Faktor-Autorisierung wurde nicht durch den Nutzer selbst ausgelöst
- Auch nach mehreren MFA Push Nachrichten, die abgelehnt wurden, erhält der Nutzer immer wieder neue MFA-Anfragen
Unser Tipp? Ignorieren Sie diese Nachrichten.
Sollte die Nachricht nicht durch einen selbst ausgelöst worden sein, ist die einfachste Lösung: Auf keine Nachrichten reagieren. Das Smartphone, auf dem die Push-Nachrichten ankommen, sollten Sie einfach erst einmal abschalten und bei nächster Gelegenheit das Accountpasswort ändern. Bei der Änderung des Passwortes sollten Sie immer darauf achten, ein komplexes Passwort zu verwenden.
Abwehr von MFA Fatigue Angriffen in Microsoft
In der Microsoft 365 Cloud besteht die Möglichkeit, über das Azure AD Portal zusätzliche Informationen bereitzustellen, die auch in der MFA Authenticator App für den Nutzer erkennbar sind. Diese Informationen helfen dabei, festzustellen, woher und von welcher Applikation die MFA-Abfrage kommt. Versucht man sich selbst gerade nicht von dieser Applikation anzumelden, sollte man die Anfrage also besser ablehnen.
IT-Administratoren können diese zusätzliche Einstellung im Azure AD Portal einfach vornehmen. Im Bereich Sicherheit unter Authentifizierungsmethoden wird der Dienst Microsoft Authenticator so konfiguriert, dass für alle Nutzer in der App sowohl die anzumeldende Applikation als auch der Ort, von dem die vermeintliche Anmeldung erfolgt, ersichtlich wird.
Seien Sie aufmerksam bei der Anzeige des Ortes.
Sie sollten ungefähr wissen, über welchen Provider Sie gerade mit dem Dienst-Account ins Internet gehen. Befinden Sie sich im Unternehmen, kann meist anhand der IP sehr genau ausgegeben werden, dass Sie vor Ort sind. Nutzen Sie jedoch zum Beispiel im Homeoffice einen der bekannten Internetanbieter in Deutschland, kann es schon einmal sein, dass Sie sich in Kiel aufhalten und dort arbeiten, die ausgehende IP aber in München oder Münster verortet wird.
