Der Blogeintrag wurde durch den Bericht „l+f: Nie mehr arbeiten dank Cybercrime“ vom 01.10.2025 auf heise.de inspiriert. Link zum Bericht von heise.de: https://www.heise.de/news/l-f-Nie-mehr-arbeiten-dank-Cybercrime-10679732.html
MFA-Bombing und die Gefahr von Innen
Ein aktueller Fall bei der öffentlich-rechtlichen Rundfunkanstalt des Vereinigten Königreichs BBC, nehmen wir heute zum Anlass Sie über die Themen „MFA-Bombing“ und Gefahren aus dem eigenen Netzwerk zu informieren.
Als erstes wollen wir klären was „MFA-Bombing“ ist und wie man damit umgehen sollte.
MFA-Bombing:
„MFA-Bombing“ oder „Multi-Faktor-Authentifizierung-Bombing“ tritt immer dann auf, wenn bösartigen Akteuren nur noch der Schritt der Multi-Faktor-Authentifizierung davon abhält auf ein System oder in ein Netzwerk zuzugreifen. Dabei haben die Akteure bereits den Benutzer- oder Account-Namen und/oder das Passwort eines Zugangs erlangt und versuchen sich nun so oft wie möglich bei diesem Konto (Account) anzumelden oder Anfragen zur Änderung des Passworts zu stellen. So wollen sie Push-Benachrichtigungen einer Authenticator App auszulösen und damit wiederum den Account-Besitzer dazu zu bringen, die Anfragen zu bestätigen. Leider reicht in dieser Situation schon ein versehentlicher Klick oftmals aus, um den Zugang oder die Änderung zu gewähren.
Was sollte man tun, wenn erkennt, dass dies gerade bei einem selbst passiert?
- Auf keinen Fall darf man diese Authentifizierungsversuche leichtfertig zustimmen (autorisieren).
- Melden Sie, wenn es sich dabei um einen geschäftlichen Account handelt, den Vorfall unverzüglich an die zuständige/n Stellen/n (IT-Abteilung, Informationssicherheitsbeauftragten, oder zumindest Ihrem Vorgesetzten).
- Ändern Sie wenn möglich, sofort Ihr Passwort. Nutzen Sie hierfür eine Passwort-Rücksetzanforderung über die interne IT oder im Privatbereich den Support des jeweiligen Dienstanbieters.
Denn im schlimmsten Fall bestätigen Sie mit der durch einen Angreifer initiierten Login-Anforderung oder dem Ändern des Passworts den Anmeldeversuch des Hackers. - Beobachten Sie, ob das Phänomen weiterhin auftaucht oder sich andere Unregelmäßigkeiten zeigen. Wenn dies der Fall sein sollte, so weist dies auf ein tiefergreifendes Problem hin und es müssen weitere Untersuchen und Sicherheitsmaßnahmen getroffen werden.
Das Thema lässt sich auch dadurch unterbinden, dass man eine sichere Variante der Multi-Faktor-Authentifizierung nutzt oder diese Nutzung für Unternehmens-Accounts verbietet und technisch unterbindet. Alternativen hierfür wären beispielsweise die Eingabe eines Codes, den Ihre Authentisierungs-App generiert.
Doch nun zu dem aktuellen Fall bei der BBC.
Die Gefahr von innen:
Eine beschäftigte Person der BBC wurde über einen Messenger von Kriminellen kontaktiert. Diese wollten in die Systeme der BBC eindringen, das Netzwerk infiltrieren und die BBC um Lösegeld erpressen. Hierfür wollten die Akteure den Mitarbeiter mit 15% der Lösegeldsumme dazu bringen Ihnen die Zugänge zu verraten und die Multifaktor-Authentifizierung zu bestätigen. Nun hatte die Rundfunkanstalt Glück und der Mitarbeiter ging nicht auf das Angebot ein, zusammen mit einer erfahrenen Kollegin tat er allerdings so, als hätte er Interesse an der Sache (Den exakten Vorgang beschreibt der Mitarbeiter unter dem Link: https://www.bbc.com/news/articles/c3w5n903447o). Er versuchte so viel wie möglich herauszufinden und da es Sonntag war, versuchte er die Hacker hinzuhalten, um den Vorfall mit dem gesamten Chat-Verlauf an das Security-Team der Anstalt zu melden. Allerdings wurde er unter Druck gesetzt und ihm wurde ein Ultimatum gestellt. Als er dieses verstreichen ließ, fing die Authenticator-App seines Smartphones an im Minutentakt Push-Benachrichtigungen anzuzeigen. Die Hacker hatten bereits seinen Accountnamen und versuchten nun sein Passwort zu ändern, was einer Bestätigung durch die App bedurfte.
Er kontaktierte sofort als es ihm möglich war seine Kollegen in der IT und alle seine Geräte wurden zur Sicherheit komplett vom Netzwerk getrennt. Nun versuchten die Hacker nochmals einen neuen Ansatz, indem sie auf eine freundliche Art ihr Angebot erneuerten.
Dieser Fall zeigt uns mehrere Punkte auf, die wir hier nochmal zusammenfassen wollen:
- Ein gutes Verhältnis zwischen der Unternehmensführung und den Beschäftigten ist wichtig, denn unzufriedene Mitarbeiterinnen und Mitarbeiter sind leichter versucht ein solches Angebot anzunehmen.
- Alle Personen einer Organisation müssen über ein Bewusstsein zum Thema IT-Sicherheit und möglichen Bedrohungen verfügen, sowie auch über das Wissen was in solchen Situationen zu tun ist oder auch, was man tunlichst unterlassen sollte.
- Die böswilligen Akteure (Hacker) sind heutzutage Menschen die Straftaten professionalisiert haben, professionell auftreten und durchaus die Fähigkeit besitzen psychologische Tricks anzuwenden.
- Hier ging für die Rundfunkanstalt nochmals alles gut aus, allerdings gibt es auch Fälle wie der sogenannte „Uber-Hack“ bei dem das MFA-Bombing erfolgreich war.
Natürlich handelt es sich bei der BBC um eine große Institution, aber auch kleinere Unternehmen sind nicht sicher vor diesem Vorgehen. Bei den größeren Betrieben müssen die Akteure nur häufig einen höheren Aufwand betreiben. Doch denken Sie daran, ein Klick, und sei es nur aus Versehen oder weil man wegen den Meldungen genervt ist, genügt aus, um einer fremden Person Zugang zu einem Account und im schlimmsten Fall auf das ganze Netzwerk zu ermöglichen.
Fazit:
Viele solche Maschen können durch technische Hilfsmittel erschwert oder unterbunden werden, allerdings Bedarf es auch einem guten Maß an Bewusstsein (Awareness) um solche Fälle so gut wie möglich zu verhindern. Denn der menschliche Faktor kann wiederum viele technische Maßnahmen aushebeln. Kommen Sie auf uns zu, falls Sie Fragen haben oder sich für eine Awareness-Kampagne in Ihrem Unternehmen interessieren.