Simulation Træning Monitorering Priser Virksomheden Ressourcer Blog Kontakt
Prøv det gratis Log ind

Alt du skal vide om MFA bombing

MFA bombing er en metode, hackere gør brug af til at trænge igennem det ekstra lag af sikkerhed, vi kender som multi-factor authentication.

10-03-2023 - 7 minutters læsning. Under kategorien: hacking.

Alt du skal vide om MFA bombing

MFA bombing eller MFA fatigue, som det også går under, er en ny type social engineering-teknik, som hackere særligt bruger til at kompromittere medarbejderkonti i store organisationer. Man har eksempelvis oplevet denne type angreb i organisationer som Uber og Microsoft så sent som i 2022.

Metoden udnytter de typer multi-factor authentication, som sender push-meddelelser om godkendelse af login-forsøg til brugeren, samt det faktum at mennesker kan køres trætte og ofte vil blive frustrerede over endeløse mængder af beskeder, der kan tikke ind på mobilen og forstyrre.

Dog forudsætter MFA bombing angreb, at hackeren allerede på forhånd er i besiddelse af offerets login-oplysninger. Af samme grund er god password-hygiejne alfa omega for at undgå at blive udsat for MFA bombing.

Men alt dette vender vi tilbage til.

Kort om Multi-Factor Authentication (MFA)

Multi-factor authentication, eller flerfaktorgodkendelse, er et ekstra lag af sikkerhed til dine konti. Før i tiden var brugernavn og adgangskode tilstrækkeligt som beskyttelse af private konti, men med tiden blev det mere og mere nødvendigt med ekstra beskyttelse, i takt med at hackere blev bedre til, på ulovlig vis, at tvinge sig adgang til konti vha. metoder som password spraying, ordbogsangreb og brute force.

Kort sagt har MFA til formål at identificere brugeren og verificere, at det er brugeren, der logger ind et sted, og ikke en, der udgiver sig for at være brugeren.

Når du logger ind vha. MFA, skal du derfor kunne fremvise mindst to beviser, der bekræfter din identitet, hvoraf det ene bevis typisk vil være dit brugernavn og adgangskode. Disse beviser kan inddeles i forskellige typer, herunder:

  • Hvad du har: fx en mobiltelefon, som du modtager engangskoder på, et betalingskort, MitID eller andre godkendelsesapps som Google Authenticator.
  • Hvad du ved: såsom en PIN-kode eller andre sikre koder, som kun du har viden om.
  • Hvad du er: som kan være biometrisk data såsom dit fingeraftryk eller ansigtsgodkendelse.

MFA gør altså dine konti mere sikre, fordi det kræver, at hackeren både kender dine almindelige login-oplysninger og dit ekstra “bevis” (fx er i besiddelse af din mobil), for at kunne få adgang.

Sådan foregår MFA bombing

Nu spørger du måske dig selv, hvordan man kan hacke MFA, når det er så sikkert og netop kræver, at hackeren er i besiddelse af brugerens ekstra bevis, som bekræfter dennes identitet. Svaret er social engineering.

Social engineering er nemlig udviklet til at manipulere brugeren for at få adgang til dennes konto eller system. I tilfældet med MFA bombing spiller hackeren på menneskelige følelser og tilstande som frustration og træthed.

Grundlæggende går MFA bombing ud på, at hackeren bombarderer (deraf navnet) brugeren med push-meddelelser indtil vedkommende (måske) til sidst overgiver sig, godkender login-forsøget og på den måde giver hackeren adgang til kontoen. Derfor bliver det også typisk brugt til at omgå sikkerheden i MFA via godkendelsesapps, som netop sender notifikationer, når der forsøges at blive logget ind. I sådanne apps kræver det nemlig typisk kun et klik på en knap eller et swipe til højre for at verificere login-forsøget.

Hvis offeret lader til at være svær at overbevise, kan hackeren ydermere sende mails til vedkommende, hvori de udgiver sig for at være IT-support, der siger, at notifikationerne er legitime og skal godkendes.

Stormen af notifikationer om login-forsøg kan være overvældende. Typisk godkender ofre uautoriserede login-forsøg, hvis de er distraheret af andre ting, hvis de forveksler dem med legitime anmodninger om login, eller simpelthen hvis de er blevet tilpas frustreret over mængden af notifikationer og derfor ønsker at slukke for dem ved at klikke på knappen og godkende.

Der findes dog også mere sofistikerede typer MFA bombing. Fx kan hackere sende 1-2 login-anmodninger om dagen i en periode for at tiltrække mindre opmærksomhed, mens sandsynligheden for, at brugeren godkender login-forsøget, stadig er relativt stor. Som med alle andre former for hacking er metoderne brugt i MFA bombing konstant i bevægelse og under udvikling.

Derfor er MFA bombing effektivt

Det er netop brugen af social engineering, som gør MFA bombing så effektivt.

Hackere udnytter endda ofte tidspunkter til MFA bombing, hvor de ved, at chancen for, at offeret er træt og uopmærksom, er størst mulig. Det kan fx være sidst på arbejdsdagen eller om aftenen. I nogle tilfælde har ofre oplevet at blive forstyrret af notifikationerne om natten, hvor sandsynligheden for, at de godkender i frustration, uopmærksomhed og træthed, er stor.

Samtidigt er det en ny type cybertrussel, som mange ikke er forberedt på eller bekendt med.

MFA bombing angreb på Uber

I september 2022 var Uber udsat for et omfattende MFA bombing-angreb. En hacker kaldet Tea Pot havde købt en Uber-medarbejders stjålne login-oplysninger på the dark web, og efterfølgende greb angrebet hurtigt om sig. Hackeren brugte social engineering til at snyde medarbejderen til at give ham adgang til en medarbejderkonto, og da medarbejderen havde godkendt login-forsøget, kunne hackeren registrere sin egen enhed på kontoen.

På den måde fik hackeren frit spil til Ubers interne netværk og privilegerede administrator-konti, som gav adgang til yderligere systemer.

Angrebet resulterede i et databrud, hvor visse interne oplysninger efterfølgende blev eksponeret på the dark web.

I kølvandet på angrebet kom det frem, at det var sket som resultat af MFA bombing. Medarbejderens adgangskode var blevet solgt på the dark web efter at vedkommendes mobil havde været inficeret med malware. Herefter udgav hackeren sig for at være fra Ubers IT-afdeling i en WhatsApp-besked til medarbejderen, hvor han skrev, at den eneste måde at stoppe notifikationerne om login-forsøg var ved at godkende én.

Det kan du gøre for at forebygge MFA bombing-angreb

Der er heldigvis flere ting, du kan gøre, for at minimere risikoen for at blive ramt af et MFA bombing-angreb. Vi anbefaler følgende:

  • Stærke kodeord: Det vigtigste er først og fremmest at have stærke og unikke kodeord, så du kan undgå at få stjålet dine personlige login-oplysninger til at starte med. Her kan det være en god idé at bruge en password manager, som kan opbevare alle ens adgangskoder sikkert, så man slipper for selv at skulle huske dem. Ofte vil man endda kunne få password manageren til at generere stærke og sikre adgangskoder for én. Disse adgangskoder er lavet til aldrig at kunne relateres til dig personligt.
  • Kontakt IT-afdelingen: Hvis du oplever at få en endeløs strøm af push-notifikationer fra din godkendelsesapp, som beder dig godkende login-forsøg, du ikke selv står bag, skal du kontakte IT-afdelingen på din arbejdsplads. Det skal altid få alarmklokkerne til at ringe, da det er et tydeligt tegn på, at uvedkommende forsøger at få adgang til din konto.
  • Begræns antallet af MFA-anmodninger: Mange godkendelsesapps tillader dig at begrænse antallet af MFA-anmodninger, du kan modtage indenfor et bestemt tidsrum. Denne metode gør det således umuligt for hackere at bombardere dig med notifikationer om godkendelse af login-forsøg.
  • Vælg engangskoder: Du kan også vælge noget så simpelt som at modtage engangskoder fremfor at bruge apps, hvor du kun skal klikke på en knap for at godkende. Her kræver det nemlig, at du selv indtaster den kode, du modtager, hvilket ikke er helt så ligetil, som hvis du blot skal godkende ved at klikke på en knap.
  • Slå push-notifikationer fra: I forlængelse af forrige, kan du også vælge helt at slå push-notifikationer fra. Store mængder af notifikationer er nemlig en forudsætning for MFA bombing, hvor formålet er at køre brugeren træt eller fremme frustration. Når du slår notifikationer fra, skal du nemlig selv gå ind i appen og godkende dine logins, når du har brug for det.

Multi-factor authentication er et ekstra lag af sikkerhed og er altid en god idé at bruge. MFA bombing er blot et udtryk for, hackere er hurtige til at finde smuthuller i alle sikkerhedsfremmende værktøjer. MFA bombing er endnu en metode, der er baseret på udnyttelsen af menneskelige følelser og menneskelige fejl.

Forfatter Emilie Hartmann

Emilie Hartmann

Emilie Hartmann er studerende og copywriter hos Moxso, hvor hun udfolder sig som sprognørd og altid er på udkig efter nye spændende emner at skrive om. Hun er igang med sin kandidat i engelsk, hvor hun primært bevæger sig indenfor fagområderne Creative Writing og Digital Humanities.

Se alle indlæg af Emilie Hartmann

Lignende indlæg

Titan Stealer: En ny malware dukker op
malware

Titan Stealer: En ny malware dukker op

Titan Stealer er den nyeste form for malware - den dukkede op i 2022, og er kun på vej frem. Her giver vi historien om malwaren, og hvordan man kan undgå den.

12-04-2023 · 5 min.
Cybertrusler: Fra hacking til AI
cybercrime

Cybertrusler: Fra hacking til AI

Vi går en tur ned ad memory lane og ser på cybertruslernes udvikling gennem tiden. Bliv klogere på hvordan det hele startede og hvor vi bevæger os hen.

26-10-2023 · 7 min.
Botnets: Den tavse cybertrussel
hacking

Botnets: Den tavse cybertrussel

Botnets er ikke begrænset af landegrænser og spreder sig over hele kloden. Læs mere om det farlige netværk her.

10-08-2023 · 5 min.