MFA-Fatigue-Angriff

What Is MFA-Fatigue-Angriff?

Multi-factor authentication blocks more than 99% of automated account attacks - which is exactly why attackers have learned to target the human in front of the prompt. In this exercise, you experience a real-world MFA fatigue attack. Late at night, after a long day, you start receiving push notifications for sign-in attempts you did not make. You correctly deny the first two. Then a WhatsApp message arrives from someone claiming to be the IT Help Desk, telling you that the prompts are part of routine maintenance and you should approve the next one. Tired and trusting the message, you approve. The next morning you wake up to discover your account was used to attempt a vendor wire-transfer fraud. You walk through the aftermath: investigating what happened, calling the real IT team to confirm the attack, filing a formal incident report, and learning the four controls that defeat fatigue attacks - habits like denying every prompt you did not initiate and treating off-channel 'IT' messages as hostile, plus technical settings like number-matching MFA and phishing-resistant hardware keys. The simulation is modeled on the 2022 Uber breach, where the same combination of push spam plus a WhatsApp message gave the attacker broad internal access. Knowing the pattern is the defense.

What You'll Learn in MFA-Fatigue-Angriff

• Einen MFA-Fatigue-Angriff (Push-Bombing) bereits an der ersten unerwarteten Aufforderung erkennen, bevor der Social-Engineering-Hebel ansetzt
• Apply the rule "deny every prompt you did not initiate, no matter how many arrive" even under fatigue and time pressure
• IT-Impersonation über inoffizielle Kanäle (WhatsApp, Telegram, privates Smartphone) als feindseliges Signal erkennen – unabhängig davon, wie legitim die Wortwahl klingt
• Auf eine erfolgreiche Kontokompromittierung mit den richtigen ersten Schritten reagieren – die echte IT anrufen, einen gründlichen Vorfallsbericht einreichen und das Team über das Muster informieren
• Stärkere MFA-Kontrollen wählen – Number Matching und Phishing-resistente FIDO2-/Hardware-Sicherheitsschlüssel – die Fatigue-Angriffe auf Protokollebene schlagen

MFA-Fatigue-Angriff — Training Steps

1. Feierabend machen

   Es ist ein paar Minuten nach 23:00 Uhr an einem Donnerstag. Alice hat gerade die letzte E-Mail des Tages verschickt – ein Routing-Update für den Frachtplan von morgen – und will ihren Laptop zuklappen. Ihr Smartphone liegt neben ihr auf dem Schreibtisch und lädt. Auf ihrem Arbeitskonto ist MFA aktiviert. Sie schläft ruhiger, weil sie das weiß.

2. Eine unerwartete Anmeldeanfrage

   Alices Smartphone vibriert: eine MFA-Push-Benachrichtigung. Jemand versucht, sich bei ihrem Northridge-Logistics-Portal-Konto anzumelden. Sie ist auf ihrem Laptop bereits angemeldet. Sie hat keine neue Anmeldung gestartet.

3. Die erste Aufforderung ablehnen

   Diese Anmeldung stammt nicht von Alice. Die richtige Reaktion ist, sie sofort abzulehnen.

4. Sofort die nächste

   Bevor Alice ihr Smartphone aus der Hand legen kann, kommt eine zweite MFA-Push-Benachrichtigung. Gleiches Konto, gleiche IP aus Sofia. Der Versuchszähler in der Aufforderung steht jetzt auf Versuch #2 . Wer auch immer ihr Passwort hat, gibt nicht auf.

5. A Message from "IT"

   Während Alice noch auf ihr Smartphone starrt und sich fragt, was hier los ist, kommt eine WhatsApp-Nachricht von jemandem, der sich als Northridge IT Help Desk ausgibt. Der Kontakt ist nicht in ihrem Adressbuch.

6. Zwischen den Zeilen lesen

   Ein echter Angreifer setzt genau auf diese Müdigkeit.

7. Die entscheidende Push-Benachrichtigung

   Wie auf Stichwort kommt eine dritte MFA-Push-Benachrichtigung. Alice redet es sich zurecht: Vielleicht macht die IT wirklich Wartung. Einmal genehmigen, dann hört der Lärm auf und sie kann schlafen. Sie tippt auf Genehmigen.

8. Trügerische Ruhe

   Die Aufforderungen hören auf. Alice atmet aus, schließt ihr Smartphone an und geht schlafen. In Sofia ist der Angreifer jetzt in ihrem Northridge-Logistics-Portal-Konto angemeldet. Er hat etwa zwanzig Minuten, bevor die Anomalieerkennung des Unternehmens die fremde Anmeldung registriert.

9. Eine E-Mail, die nicht zusammenpasst

   Alice setzt sich mit einem Kaffee in ihr Homeoffice. In ihrem Posteingang liegen ein paar über Nacht eingegangene Nachrichten. Die erste ist von David Park aus der Finanzabteilung, und die Betreffzeile lässt sie erstarren.

10. Die Puzzleteile fügen sich zusammen

    Alice hat diese E-Mail nicht geschickt. Sie ist nicht einmal für Lieferanten-Bankdaten zuständig. Ihr wird flau im Magen.