MFA-Fatigue-Angriff

What Is MFA-Fatigue-Angriff?

Multi-Faktor-Authentifizierung blockiert mehr als 99% der automatisierten Kontoangriffe - genau deshalb haben Angreifer gelernt, den Menschen vor der Eingabeaufforderung ins Visier zu nehmen. In dieser Übung erleben Sie einen realen MFA-Fatigue-Angriff. Spät in der Nacht, nach einem langen Tag, beginnen Sie Push-Benachrichtigungen für Anmeldeversuche zu erhalten, die Sie nicht gemacht haben. Sie verweigern die ersten beiden korrekt. Dann kommt eine WhatsApp-Nachricht von jemandem, der behauptet, vom IT-Helpdesk zu sein, und Ihnen mitteilt, dass die Eingabeaufforderungen Teil der Routinewartung sind und Sie die nächste genehmigen sollten. Müde und der Nachricht vertrauend, genehmigen Sie. Am nächsten Morgen wachen Sie auf und entdecken, dass Ihr Konto verwendet wurde, um einen Betrug per Banküberweisung an einen Lieferanten zu versuchen. Sie durchlaufen die Folgen: Untersuchung dessen, was passiert ist, Anruf beim echten IT-Team zur Bestätigung des Angriffs, Einreichung eines formellen Vorfallsberichts und Lernen der vier Kontrollen, die Fatigue-Angriffe besiegen - Gewohnheiten wie das Verweigern jeder Eingabeaufforderung, die Sie nicht initiiert haben, und die Behandlung von 'IT'-Nachrichten außerhalb des Kanals als feindlich, plus technische Einstellungen wie Number-Matching-MFA und phishing-resistente Hardware-Schlüssel. Die Simulation basiert auf dem Uber-Vorfall von 2022, bei dem dieselbe Kombination aus Push-Spam plus einer WhatsApp-Nachricht dem Angreifer breiten internen Zugriff verschaffte. Das Muster zu kennen ist die Verteidigung.

What You'll Learn in MFA-Fatigue-Angriff

• Erkennen Sie einen MFA-Fatigue-Angriff (Push-Bombing) ab der ersten unerwarteten Eingabeaufforderung, bevor der Social-Engineering-Köder eintrifft
• Wenden Sie die Regel "verweigern Sie jede Eingabeaufforderung, die Sie nicht initiiert haben, egal wie viele eintreffen" auch unter Müdigkeit und Zeitdruck an
• Identifizieren Sie die Identitätsfälschung der IT über inoffizielle Kanäle (WhatsApp, Telegram, persönliches Telefon) als feindliches Signal, unabhängig davon, wie legitim der Wortlaut klingt
• Reagieren Sie auf eine erfolgreiche Kontokompromittierung mit den richtigen ersten Maßnahmen - rufen Sie die echte IT an, reichen Sie einen gründlichen Vorfallsbericht ein und benachrichtigen Sie das Team über das Muster
• Wählen Sie stärkere MFA-Kontrollen - Number Matching und phishing-resistente FIDO2-/Hardware-Schlüssel - die Fatigue-Angriffe auf Protokollebene besiegen

MFA-Fatigue-Angriff — Training Steps

1. Wrapping Up for the Night

   It's a few minutes past 11 PM on a Thursday. Alice has just sent the last email of the day - a routing update for tomorrow's freight schedule - and is about to shut her laptop. Her phone is on the desk beside her, charging. MFA is enabled on her work account. She sleeps better knowing it's there.

2. An Unexpected Sign-In Request

   Alice's phone buzzes with an MFA push notification. Someone is trying to sign in to her Northridge Logistics Portal account. She's already signed in on her laptop. She did not initiate any new login.

3. Denying the First Prompt

   This sign-in is not Alice's. The right move is to deny it immediately.

4. Another One, Right Away

   Before Alice can put her phone down, a second MFA push arrives. Same account, same Sofia IP. The attempt counter on the prompt now reads Attempt #2 . Whoever has her password is not giving up.

5. A Message from "IT"

   While Alice is staring at her phone wondering what's going on, a WhatsApp message arrives from someone identifying themselves as Northridge IT Help Desk . The contact is not in her phone book.

6. Reading Between the Lines

   On a normal day, Alice would notice the red flags in this message. But it's after 11 PM, she's tired, and the message uses the right vocabulary - 'credential rotation', 'session re-validation', 'Help Desk'. A real attacker is counting on exactly that fatigue.

7. The Push That Decides It

   Right on cue, a third MFA push arrives. Alice rationalizes: maybe IT really is doing maintenance. Approving once will end the noise so she can sleep. She taps Approve.

8. A False Sense of Quiet

   The prompts stop. Alice exhales, plugs in her phone, and goes to sleep. In Sofia, the attacker is now logged in to her Northridge Logistics Portal account. They have about twenty minutes before the company's anomaly detection picks up the foreign login.

9. An Email That Doesn't Add Up

   Alice settles into her home office with a coffee. Her inbox has a couple of overnight messages. The first is from David Park in Finance, and the subject line stops her cold.

10. The Pieces Start Fitting Together

    Alice did not send that email. She doesn't even handle vendor banking. Her stomach drops.