Viele Kriminelle haben beschlossen, die Nutzer selbst zu manipulieren, damit diese, ohne es zu merken, in ihre Falle tappen.
Online-Betrug passt sich immer weiter an und stellt mittlerweile scheinbar legitime Methoden dar, um an Zugangsdaten für Systeme zu gelangen. Das Hauptziel dieser Angriffe ist es, Zugang zu Unternehmensinformationen zu erhalten, indem man sich als legitimer Nutzer ausgibt.
Mit dieser Kontrolle können Cyberkriminelle schädliche Aktionen ausführen, wie z. B. komplexe Angriffe oder das Versenden von Phishing-E-Mails mit internen und vertraulichen Informationen, was die Wahrscheinlichkeit erhöht, dass ihre Opfer betrogen werden.
Laut einem spezialisierten Cybersicherheitsportal ist der sogenannte MFA-Bombardement – auch bekannt als „Push-Bombardement“ oder „MFA-Fatigue“ – eine Technik, die darauf abzielt, die Geduld des Benutzers durch eine ständige Flut von Bestätigungsanfragen zu erschöpfen.
Diese Methode zielt darauf ab, Konten zu hacken, die durch Multi-Faktor-Authentifizierung (MFA) geschützt sind, ein System, das in der Regel die Eingabe eines sechsstelligen Codes erfordert, der per SMS empfangen und in der Anwendung generiert wird, oder die Bestätigung einer Push-Benachrichtigung nach der Eingabe von Benutzername und Passwort, was die Sicherheit erheblich erhöht und die Aufgabe für Angreifer erschwert.
Angesichts der Schwierigkeit, die Multi-Faktor-Authentifizierung direkt zu knacken, haben viele Kriminelle beschlossen, den Nutzer selbst zu manipulieren, damit er sie unbemerkt umgeht.
Kontext: Eine neue Art von Betrug, die mit einem einzigen Mausklick innerhalb von Sekunden einen Virus installiert und vertrauliche Informationen gefährdet.
Dazu verwenden sie gestohlene Anmeldedaten und versuchen, sich erneut anzumelden oder das Passwort zurückzusetzen, indem sie eine Flut von Push-Benachrichtigungen und Nachrichten generieren, in denen sie um die Bestätigung des Zugriffs oder die Änderung des Passworts bitten. Das Ziel ist, dass das Opfer, müde oder verwirrt, schließlich der Aufforderung nachkommt oder den Anweisungen folgt, nur um die digitale Belästigung zu beenden.
Wie Brian Krebs in seinem Blog warnt, hat sich diese Taktik jedoch weiterentwickelt: Wenn der Nutzer dem Druck der unaufhörlichen Benachrichtigungen widersteht, rufen die Angreifer ihn unter einem falschen Namen an und geben sich als Mitarbeiter des Kundendienstes aus, um „zu helfen” und so ihren Betrug abzuschließen.
In einem von Brian Krebs beschriebenen Fall überschütteten die Betrüger das Telefon des Mannes mit einer endlosen Reihe von Benachrichtigungen, dass er sein Apple-ID-Passwort zurücksetzen müsse. Bei jeder Nachricht musste der Nutzer „Zulassen” oder „Nicht zulassen” auswählen, bevor er sein Gerät wieder normal nutzen konnte. Das Opfer bewies bemerkenswerte Geduld und schaffte es, mehr als hundert Anfragen abzulehnen, ohne dem Druck nachzugeben.
Die Kriminellen gaben jedoch nicht auf und gingen zur nächsten Phase über, wie das Beispiel im Blog zeigt: ein Anruf von einer gefälschten Nummer, die wie die Nummer des Apple-Supports aussah. Während des Gesprächs versuchten sie, das Opfer davon zu überzeugen, das Passwort zurückzusetzen und den temporären Code, der an sein Gerät gesendet wurde, weiterzugeben.
Mit diesem Code hätten sie das Passwort ändern und die Kontrolle über das Konto übernehmen können. Glücklicherweise wurde das Opfer misstrauisch und bat die vermeintlichen Mitarbeiter, ihre persönlichen Daten zu bestätigen. Als sie sich in ihrem Namen vertaten, verrieten sie sich als Betrüger.
