Onderzoekers hebben aanvallen waargenomen waarbij aanvallers multifactorauthenticatie (MFA) weten te omzeilen door slachtoffers met pushnotificaties te bestoken totdat ze die accepteren, waarna er toegang tot het account wordt verkregen. Dat stelt securitybedrijf Mandiant in een analyse van een aanvalsgroep, die volgens de onderzoekers mogelijk van Russische origine is.
Bij multifactorauthenticatie moet de gebruiker naast een gebruikersnaam en wachtwoord nog één of meerdere andere factoren opgeven om toegang tot zijn account te krijgen. Het kan dan gaan om een code die via sms wordt verkregen, een via een app gegenereerde code of een pushnotificatie die op de telefoon moet worden bevestigd. Zelfs wanneer een aanvaller het wachtwoord van de gebruiker heeft moet hij ook de beschikking over de telefoon hebben om op het account in te kunnen loggen.
Bij de aanvallen die Mandiant waarnam hadden de aanvallers de inloggegevens van hun slachtoffers verkregen. De accounts waren echter door middel van MFA beveiligd. Wanneer de aanvallers probeerden in te loggen op het account kreeg het slachtoffer een pushnotificatie te zien met het verzoek om de inlogpoging goed te keuren. Volgens Mandiant bleven de aanvallers herhaaldelijk inloggen totdat de gebruiker de pushnotificatie accepteerde, waardoor de aanvaller toegang tot het account kreeg.
In de meeste gevallen probeerden de aanvallers, nadat ze toegang hadden gekregen, data te stelen die relevant voor de Russische belangen is, aldus Mandiant. In sommige gevallen werd de data gebruikt om op andere manieren toegang tot de omgeving van het slachtoffer te krijgen. Volgens het securitybedrijf waren de aanvallen tegen bedrijven en overheden wereldwijd gericht, maar verdere details over slachtoffers worden niet gegeven.
