Veel mensen zijn bekend met de term multi-factor authentication (MFA). Je voert je gebruikersnaam en wachtwoord in en wordt vervolgens gevraagd om een cijfercode in te vullen. Deze wordt per mail of SMS toegestuurd. Met het invoeren van deze code bevestig je de inlogpoging. Dit bevestigen kan ook via een mobiele applicatie. Dit alles om jouw account zo goed mogelijk te beveiligen. In de meeste gevallen zal multi-factor authentication hierin ook slagen.

Er zijn echter gevallen waarbij multi-factor authentication niet mocht baten. In deze gevallen trapten slachtoffers in een nieuwe truc van cybercriminelen: de multi-factor authentication fatigue attack. Ze werden gevraagd een inlogpoging te bevestigen, waarvoor zijzelf niet verantwoordelijk waren. De slachtoffers bevestigden de inlogpoging, nadat zij in een korte periode veelvuldig bestookt werden met MFA-pushnotificaties. Hierdoor kregen cybercriminelen toegang tot hun account.

Maar hoe werken multi-factor authentication fatigue attacks, ook wel MFA bombing/spamming genoemd, precies? En misschien nog wel belangrijker: hoe voorkom je dat jouw organisatie slachtoffer wordt van een MFA fatigue attack?

MFA: de attack flow

In bovenstaande flow zie je de verschillende fases van een MFA fatigue attack:

  • In de eerste fase vergaart een cybercrimineel inloggegevens. Dit gebeurt in de praktijk zowel door phishing als door het raadplegen van (op het darkweb) gelekte data.
  • In de tweede fase worden de verzamelde inloggegevens gebruikt om het slachtoffer in een korte periode te bestoken met een grote hoeveelheid multi-factor authentication pushnotificaties. Deze zullen veelal binnenkomen via mobiele authenticatie-apps.
  • In de laatste fase bevestigt het slachtoffer de inlogpoging. Soms vanuit de overtuiging dat hij of zij zelf verantwoordelijk is voor het verschijnen van de pushnotificatie of om op deze manier een einde te maken aan de stroom pushnotificaties. Met het bevestigen van de inlogpoging verkrijgt de cybercrimineel toegang tot het account van het slachtoffer.

Hoe voorkom je MFA fatigue attacks?

Dat een MFA fatigue attack voor vervelende gevolgen kan zorgen, hebben meerdere bedrijven al ondervonden. Gelukkig hebben een aantal leveranciers al actie ondernomen om dit vrij nieuwe fenomeen de kop in te drukken. Zo vindt sinds februari van dit jaar authenticatie met de Microsoft Authenticator niet meer plaats door op ‘Deny’ or ‘Approve’ in de app te klikken. In plaats daarvan krijgt men een cijfer te zien welke ingevoerd dient te worden in het inlogportaal (Meer informatie). Hiermee is er voor kwaadwillenden een nieuwe barrière opgeworpen. Zij zullen immers potentiële slachtoffer dienen te bewegen het cijfer aan hen te overhandigen.

Drie tips om MFA fatigue attacks weerstand te bieden

Aangezien nog niet alle authenticatie-apps op de hierboven omschreven wijze werken, volgen hier een drietal tips waarmee je jouw organisatie kunt beschermen tegen MFA fatigue attacks:

  • 1) Pas je multi-factor authentication configuratie aan. Beperk bijvoorbeeld het aantal multi-factor authentication requests die een gebruiker kan doen voordat zijn/haar account geblokkeerd wordt.
  • 2) Stap over op een andere MFA-applicatie. Overweeg over te stappen op een MFA-applicatie waarmee MFA fatigue attacks verleden tijd worden, zoals bijvoorbeeld de Microsoft Authenticator.
  • 3) Breng je collega’s op de hoogte. ‘Een gewaarschuwd mens telt voor twee’ luidt het Nederlandse spreekwoord en dit geldt hier uiteraard ook.

Ben je benieuwd hoe multi-factor authentication fatigue er in de praktijk uit ziet? In deze video wordt de aanval gedemonstreerd.