MFA-Bombing: Banken warnen vor neuer Cyberangriffswelle

Cyberkriminelle attackieren Banking-Apps mit einer Flut von Bestätigungsanfragen. Die Methode namens MFA-Fatigue oder MFA-Bombing zielt gezielt auf die Multi-Faktor-Authentifizierung – eigentlich eine wichtige Sicherheitsbarriere. Finanzinstitute schlagen jetzt Alarm.

Die Täter besitzen meist bereits die Login-Daten ihrer Opfer. Sie loggen sich damit ein und lösen so eine Push-Benachrichtigung auf dem Smartphone des Nutzers aus. Lehnt dieser die Anfrage ab, starten die Angreifer eine Serie neuer Versuche.

Das Smartphone wird mit Benachrichtigungen bombardiert. Die Kriminellen spekulieren auf einen Moment der Unachtsamkeit. Genervt oder in der Annahme eines Systemfehlers bestätigen viele Nutzer dann versehentlich den Zugriff.

MFA-Fatigue und Push‑Bombing treiben Bankkunden in die Falle – viele Angriffe starten genau so, wie hier beschrieben. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer praxisnahen 4‑Schritte-Anleitung, wie Sie Push‑Attacken, gefälschte Support‑Anrufe und andere psychologische Tricks erkennen und sich sofort schützen. Der Guide enthält Checklisten, konkrete Sofortmaßnahmen und Tipps für IT‑Verantwortliche in Finanzinstituten. In 4 Schritten gegen Phisher: Anti-Phishing-Guide kostenlos herunterladen

Warum Banken im Visier stehen

Der Zugang zu Konten verspricht Kriminellen direkten finanziellen Gewinn. Nach einer bestätigten MFA-Anfrage können sie:
* Transaktionen durchführen
* Digitale Karten für Apple Pay oder Google Pay einrichten
* Persönliche Daten für weiteren Betrug ausspähen

Die zunehmende Digitalisierung und das hohe Vertrauen in Bank-Apps machen sie zum lukrativen Ziel. Aktuelle Hybrid-Angriffe kombinieren die MFA-Flut mit gefälschten Anrufen vom angeblichen Bank-Support, um den Druck weiter zu erhöhen.

So können Sie sich schützen

Nutzer sind dieser Taktik nicht hilflos ausgeliefert. Die wichtigste Regel lautet: Bestätigen Sie niemals eine Authentifizierungsanfrage, die Sie nicht selbst ausgelöst haben. Eine Flut unerwarteter Benachrichtigungen ist ein klares Alarmzeichen.

In diesem Fall sollten Sie sofort Ihr Passwort ändern. Experten empfehlen zudem MFA-Methoden, die aktive Eingaben erfordern:
* Einmal-Codes aus Authenticator-Apps (Google/Microsoft Authenticator)
* Biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung

Diese sind weniger anfällig für versehentliche Bestätigungen als einfache Ja/Nein-Abfragen.

Die Zukunft der Authentifizierung

MFA-Fatigue-Angriffe zeigen einen klaren Trend: Kriminelle nutzen immer öfter menschliche Schwächen statt technische Lücken. Die Sicherheitsbranche arbeitet an Gegenmaßnahmen. Einige Anbieter ersetzen den Bestätigungs-Button bereits durch Number Matching – Nutzer müssen dabei eine angezeigte Zahl eingeben.

Langfristig gelten Passkeys als vielversprechende Lösung. Diese biometriebasierte Technologie macht Passwörter überflüssig. Bis zur flächendeckenden Einrichtung bleibt jedoch die Wachsamkeit der Nutzer die wichtigste Verteidigung.