MFA-Bombing: Cyberangreifer nutzen Sicherheitsfeature gegen Nutzer

MFA-Fatigue-Attacken überschwemmen Nutzer mit Hunderte Push-Benachrichtigungen, bis diese aus Verzweiflung einen betrügerischen Login bestätigen. Diese raffinierte Social-Engineering-Methode unterwandert die eigentlich schützende Zwei-Faktor-Authentifizierung und wird zur massiven Bedrohung für Unternehmen und Privatpersonen.

So funktioniert die MFA-Erschöpfungsattacke

Der Angriff beginnt mit gestohlenen Zugangsdaten, die Cyberkriminelle meist aus früheren Datenleaks erwerben. Mit Benutzername und Passwort loggen sie sich ein und lösen damit eine legitime MFA-Anfrage auf dem Gerät des Opfers aus. Der eigentliche Angriff besteht nun aus einem automatisierten Dauerbeschuss mit diesen Authentifizierungsaufforderungen.

Das Ziel: Den Nutzer durch die Flut von Push-Benachrichtigungen so zu verwirren und zu frustrieren, dass er irrtümlich eine Anfrage bestätigt – nur um die Störungen zu beenden. Besonders tückisch: Die Attacke zielt nicht auf technische Schwachstellen, sondern auf menschliche Psychologie. Sie nutzt aus, dass Menschen bei anhaltender Belästigung nachgeben.

MFA-Fatigue und kombinierte Vishing-Angriffe zeigen, wie geschickt Kriminelle psychologische Tricks einsetzen. Wenn Push‑Beschwerden und Echtzeit‑Phishing bei Ihren Mitarbeitenden ankommen, genügt oft ein Fehlklick. Unser kostenloses Anti‑Phishing‑Paket erklärt in 4 Schritten, wie Sie Mitarbeitende sensibilisieren, Phishing‑Skripte erkennen und technische Gegenmaßnahmen einführen – inklusive Checklisten und Vorlagen für Security‑Teams. Praxisnahe Maßnahmen helfen, wiederkehrende MFA‑Bombings effektiv zu stoppen. Anti‑Phishing‑Paket jetzt herunterladen

Neue Eskalationsstufe: Voice-Phishing in Echtzeit

Die Angreifer werden immer raffinierter. Aktuelle Kampagnen kombinieren den MFA-Beschuss mit Voice-Phishing (Vishing). Dabei rufen Kriminelle ihre Opfer an, geben sich als IT-Support aus und lotsen sie auf gefälschte Login-Seiten.

Besonders gefährlich sind neuartige Phishing-Kits, die der Angreifer während des Telefonats in Echtzeit anpassen kann. So synchronisiert er die gefälschten Login-Aufforderungen perfekt mit seinen Anweisungen. Sicherheitsexperten von Okta haben mehrere dieser Kits identifiziert, die von einer Allianz aus bekannten Cybercrime-Gruppen wie Scattered Spider und LAPSUS$ eingesetzt werden. Diese Gruppen sollen bereits über 100 Unternehmen angegriffen haben.

Abwehrstrategien: Von Zahleneingabe bis Nutzersensibilisierung

Die IT-Sicherheitsbranche reagiert auf die neue Bedrohung mit klaren Empfehlungen. Einfache „Tap-to-Approve“-Systeme gelten als zu anfällig. Stattdessen setzen Experten auf phishing-resistente MFA-Methoden.

Konkret bedeutet das:
* Zahleneingabe (Number Matching): Nutzer müssen eine auf dem Login-Bildschirm angezeigte Zahl in ihre Authenticator-App eingeben. Das verhindert versehentliches Bestätigen.
* Kontextinformationen: Die MFA-Anfrage zeigt Ort und IP-Adresse des Login-Versuchs an – verdächtige Standorte fallen sofort auf.
* Versuchslimits: Organisationen sollten die Anzahl der MFA-Wiederholungen in kurzer Zeit begrenzen.
* Adaptive Richtlinien: Systeme, die ungewöhnliche Login-Muster automatisch erkennen und blockieren.

Gleichzeitig bleibt die Nutzeraufklärung entscheidend. Mitarbeiter müssen lernen, unerwartete MFA-Anfragen als Alarmzeichen zu erkennen. Bei einem Beschuss gilt: Keine Anfrage bestätigen, sofort das Passwort ändern und den Vorfall melden.

Die menschliche Schwachstelle als Angriffsziel

Der Erfolg von MFA-Bombing offenbart ein grundlegendes IT-Sicherheitsdilemma: Der Mensch bleibt das schwächste Glied in der Kette. Zwei-Faktor-Authentifizierung blockiert zwar die meisten automatisierten Angriffe, doch ihre Wirksamkeit schwindet, wenn sie auf nutzerabhängige Entscheidungen setzt, die durch Überlastung und Manipulation ausgetrickst werden können.

Die Ironie: Ausgerechnet die lästigen Benachrichtigungen, die als Sicherheitsfeature gedacht sind, werden gegen die Nutzer gewendet. Dieser Trend zeigt deutlich: Je stärker die technischen Verteidigungslinien werden, desto mehr verlagern sich Angreifer auf Social-Engineering-Methoden, die menschliche Verhaltensmuster wie Ärger und Ablenkung ausnutzen.

Zukunft der Authentifizierung: Weg vom einfachen Klick

Die Branche treibt den Abschied von simplen Bestätigungs-Klicks voran. Der Fokus liegt zunehmend auf inhärent phishing-resistenten Methoden wie FIDO2-Sicherheitsschlüsseln oder biometrischer Verifizierung, die für MFA-Fatigue unanfällig sind.

Auch Behörden wie die US-Cybersicherheitsbehörde CISA setzen Zeichen: Sie bewerten Produkte, die ab 2026 keine MFA für Admin-Konten standardmäßig vorsehen, als erhebliches Risiko. Für Unternehmen bedeutet das künftig eine mehrschichtige Verteidigung: technische Upgrades, verbesserte Monitoring-Systeme zur Früherkennung von Angriffsmustern und eine Sicherheitskultur, in der Mitarbeiter als letzte menschliche Firewall gestärkt werden.

PS: Für Entscheider in IT und Security lohnt sich ein kompakter Leitfaden zu Awareness‑Trends. Das kostenlose E‑Book erklärt aktuelle Angriffsvektoren wie MFA‑Bombing und Vishing, liefert praxisnahe Schutzmaßnahmen und fertige Vorlagen für Mitarbeiterschulungen. Ideal, um kurzfristig Sicherheitslücken zu schließen und Wiederholungsangriffe zu verhindern. Holen Sie sich Checklisten, Schulungsfolien und einen 4‑Punkte‑Plan für Ihr Unternehmen. Kostenloses Anti‑Phishing‑Paket & Awareness‑Guide sichern