Das Prinzip der Zwei-Faktor-Authentifizierung ist eigentlich elegant: Selbst wenn ein Angreifer das Passwort kennt, kann er ohne den zweiten Faktor nicht einsteigen. Doch wie ein Großteil moderner Cyberkriminalität zeigt, funktioniert die beste Technik nicht, wenn die menschliche Komponente ausgenutzt wird. Beim MFA-Prompt-Bombing lautet die Strategie daher nicht: den zweiten Faktor stehlen, sondern: den Nutzer dazu bringen, ihn freiwillig bereitzustellen.
Das Angriffsszenario funktioniert nach einem bewährten Muster. Zunächst benötigen Kriminelle das gültige Passwort eines Opfers – etwa durch einen früheren Datenleck oder Phishing. Dann beginnt die eigentliche Attacke: Der Angreifer sendet massiv viele MFA-Push-Benachrichtigungen auf das Smartphone des Opfers. In einem genialen zweiten Schritt folgt ein Anruf – vermeintlich vom IT-Support. Am anderen Ende ein vermeintlicher Techniker mit überzeugender Stimme, der dem verwirrten Mitarbeiter erklärt, es gebe ein technisches Problem, und ihn auffordert, die nächste Aufforderung zu bestätigen. In diesem Moment, wenn der Nutzer bereits angespannt und verwirrt ist, genehmigt er unbewusst den Login eines Angreifers.
Der Fall Cisco verdeutlicht, wie verheerend diese Technik sein kann. Ein Mitarbeiter war Opfer eines Passwort-Diebstahls – sein Browser hatte Zugangsdaten lokal gespeichert und diese wurden abgegriffen. Der Angreifer, verbunden mit der Yanluowang-Ransomware-Gruppe, begann mit Push-Bombardierung. Initial scheiterte die Attacke, aber kombiniert mit Vishing-Anrufen in verschiedenen Akzenten gelang es schließlich. Der Kriminelle erhielt VPN-Zugriff, installierte seine eigenen MFA-Geräte für Persistenz, eskalierte zu Admin-Rechten und exfiltrierte etwa 2,8 Gigabyte sensibler Daten.
Worin liegt die grundsätzliche Schwachstelle? Push-basierte MFA-Prompts enthalten minimal Kontextinformationen. Der Nutzer sieht nicht, von wo die Anfrage kommt, welches Gerät betroffen ist oder ob er selbst die Anmeldung initiiert hat. Wenn dann alle 30 Sekunden eine neue Benachrichtigung eintrifft und zeitgleich das Telefon klingelt, vertraut der Mensch seinem eigenen Urteilsvermögen nicht mehr.
Zum Glück gibt es Lösungen. Phishing-resistente Authentifizierungsmethoden wie FIDO2-Sicherheitsschlüssel, Hardware-Token (beispielsweise YubiKey) oder Authentifikator-Apps mit Number-Matching sind deutlich schwerer zu kompromittieren, da sie Kontext und Kryptographie nutzen. Parallel sollten Unternehmen kontinuierlich ihre Active-Directory-Systeme gegen Datenbanken kompromittierter Passwörter abgleichen und sofortige Resets erzwingen. Zudem helfen Conditional-Access-Policies, die Geografiewechsel, Geräte-Status und Login-Zeitstempel berücksichtigen, verdächtige Anmeldungen blockieren, bevor überhaupt eine Push-Aufforderung gesendet wird.
MFA-Prompt-Bombing ist kein Grund, MFA zu verwerfen – es ist aber ein klares Signal, dass Push-Benachrichtigungen allein nicht mehr ausreichen.