Cyberkriminella lurar MFA genom att utmatta användare

Flerfaktorautenticering innebär att man måste styrka sin identitet i två eller fler steg. Efter att ha matat in sitt lösenord är det vanligt att man exempelvis får en pushnotis till telefonen.

Utmattar användare

Nu har cyberkriminella börjat utnyttja vår användning av MFA-skyddade system, visar en rapport från Cisco Talos. Nästan hälften av alla incidenter som Cisco Talos hanterade under Q1 2024 riktade sig mot sådana system, och organisationen pekar i rapporten på några tydliga trender.

Cyberkriminella försöker att skapa utmattning hos användarna, exempelvis genom att göra en stor mängd inloggningsförsök vid klockslagen då många loggar in på datorn, mellan klockan 08:00 och 09:00 på arbetstid. Dessutom skickar man pushnotiser på natten – när uppmärksamheten är som lägst.

Falska notiser ignoreras

MFA-tjänster har en funktion som ska markera falska inloggningsförsök som bedrägeri, men data från 15 000 incidenter under senaste året visar att funktionen sällan används. En stor majoritet av de falska pushnotiserna ignorerades, medan endast i cirka 10 procent av fallen markerades intrångsförsöket som bedrägeri.

25 procent av alla bekräftade säkerhetsintrång under första kvartalet 2024 ägde rum på grund av att en användare hade accepterat en falsk pushnotis.

– Många anställda upplever flerfaktorsautentisering som en påfrestning, något som skapar frustration till liten upplevd nytta, och det är något som cyberkriminella är väl medvetna om och anpassar sin taktik efter det. Här är det viktigt att organisationer blir ännu bättre på att tydligt förklara varför MFA är viktigt, och skapa engagemang bland medarbetarna för att följa policies och vara vaksamma. Om man förstår värdet som MFA tillför är man bättre rustad för att se och förstå misstänkt aktivitet, och slå larm, säger Henrik Bergqvist, cybersäkerhetsexpert på Cisco Sverige.