This was a simulated phishing attack. Das war ein simulierter Phishing-Angriff.
You just approved an MFA prompt you didn't trigger. Nothing was lost this time — but in a real "MFA fatigue" attack, that single approval lets an attacker into your account, with MFA already satisfied. Sie haben gerade eine MFA-Anfrage bestätigt, die Sie nicht ausgelöst haben. Diesmal ist nichts passiert — bei einem echten „MFA-Müdigkeits“-Angriff lässt diese eine Bestätigung den Angreifer in Ihr Konto, und MFA gilt damit als erfüllt.
What would have happened in a real attack Was bei einem echten Angriff passiert wäre
"MFA fatigue" or "push bombing" is what attackers do after they've already stolen your password — usually from a previous phishing campaign or a breach of an unrelated service where you reused it. With the password in hand, MFA is the only thing in their way.
So they try to sign in repeatedly. Each attempt sends a push notification to the Microsoft Authenticator app on your phone. They might send one notification an hour during the workday, or fifty in two minutes during your morning commute. The goal is simple: get you to tap "Approve" once — out of habit, out of confusion, or just to make the notifications stop.
A single "Approve" tap is all they need. From that moment, the attacker is signed in as you, on their device, with full MFA — and most accounts won't ask again for hours or days.
„MFA-Müdigkeit“ oder „Push-Bombing“ machen Angreifer, nachdem sie Ihr Passwort bereits gestohlen haben — meist aus einer früheren Phishing-Kampagne oder einem Leak bei einem anderen Dienst, bei dem Sie dasselbe Passwort verwendet haben. Mit dem Passwort in der Hand steht ihnen nur noch die MFA im Weg.
Also versuchen sie sich immer wieder anzumelden. Jeder Versuch löst eine Push-Benachrichtigung in der Microsoft-Authenticator-App auf Ihrem Handy aus. Mal eine Benachrichtigung pro Stunde während des Arbeitstags, mal fünfzig in zwei Minuten während Ihres morgendlichen Arbeitswegs. Das Ziel ist simpel: Sie sollen einmal aus Gewohnheit, aus Verwirrung oder einfach, damit endlich Ruhe ist, auf „Bestätigen“ tippen.
Ein einziges „Bestätigen“ reicht. Ab diesem Moment ist der Angreifer als Sie angemeldet — auf seinem Gerät, mit voller MFA — und die meisten Konten fragen für Stunden oder Tage nicht mehr nach.
Red flags you could have spotted Warnsignale, die Sie hätten erkennen können
- You weren't signing in. A push approval prompt while you're not actively trying to log in to anything is, by definition, someone else trying to log in as you. Sie haben sich gar nicht angemeldet. Eine Push-Bestätigungsanfrage, ohne dass Sie sich gerade irgendwo einloggen, bedeutet per Definition: Jemand anderes versucht, sich als Sie anzumelden.
- Multiple prompts in a short time. Two, five, fifty notifications in a row is not a glitch — it's an attacker hammering the sign-in page. Mehrere Anfragen in kurzer Zeit. Zwei, fünf, fünfzig Benachrichtigungen hintereinander sind kein Fehler — sondern ein Angreifer, der die Login-Seite bombardiert.
- Prompt arrives at an unusual time. 02:00 in the morning, on holiday, in the middle of a meeting where you're not signing in. Anfrage zu ungewöhnlicher Zeit. Um 02:00 nachts, im Urlaub, mitten in einer Sitzung, in der Sie sich nicht anmelden.
- Location or app doesn't match. The prompt shows a sign-in from a country, IP, or application you didn't initiate. Ort oder App passt nicht. Die Anfrage zeigt eine Anmeldung aus einem Land, einer IP oder einer Anwendung, die Sie nicht gestartet haben.
- Number-matching value missing or hidden. If you couldn't see the number to enter — or you weren't asked for one and just for a Yes/No — that's a less secure prompt that attackers prefer. Number-Matching-Wert fehlt oder ist verdeckt. Wenn Sie keine Zahl eingeben mussten — oder nur Ja/Nein gefragt wurden — handelt es sich um eine weniger sichere Anfrage, die Angreifer bevorzugen.
Next time, do this instead So machen Sie es beim nächsten Mal
- If you didn't trigger it, deny it. A prompt you didn't cause is always a "No" — even once, even by mistake. Nicht ausgelöst? Ablehnen. Eine Anfrage, die nicht von Ihnen kommt, ist immer ein „Nein“ — auch nur einmal, auch nicht versehentlich.
- Use "Report fraud" in Microsoft Authenticator. Don't just deny; tap Report fraud / Report suspicious. That tells IT someone is trying to sign in as you. In Microsoft Authenticator „Betrug melden“ wählen. Nicht nur ablehnen, sondern Betrug melden / Verdächtig melden antippen. So weiss die IT, dass jemand versucht, sich als Sie anzumelden.
- Change your password right away. If a push prompt arrived, the attacker already has your password. Change it, then enable MFA on any other accounts where you used the same one. Ändern Sie sofort Ihr Passwort. Wenn eine Push-Anfrage kam, hat der Angreifer das Passwort bereits. Ändern Sie es und aktivieren Sie MFA in allen anderen Konten, in denen Sie dasselbe verwendet haben.
- Always check the number-matching value carefully. Read it from the sign-in screen, then enter it in Authenticator. Don't approve from muscle memory. Prüfen Sie den Number-Matching-Wert sorgfältig. Lesen Sie ihn vom Anmeldebildschirm und tippen Sie ihn dann im Authenticator ein. Nicht aus Gewohnheit bestätigen.
- If you accidentally approved one — report it now. Speed matters. A few minutes is often the difference between a contained incident and a full breach. Versehentlich bestätigt? Sofort melden. Schnelligkeit zählt. Wenige Minuten entscheiden oft, ob ein Vorfall begrenzt bleibt oder zur vollen Kompromittierung wird.
Report suspicious MFA prompts Verdächtige MFA-Anfragen melden
An unexpected MFA prompt is itself a security incident — your password is already in someone else's hands. Don't wait.
- In Microsoft Authenticator, tap Deny, then Report fraud / suspicious.
- Change your Microsoft 365 password immediately.
- Notify IT: it@zevvy.org.
Eine unerwartete MFA-Anfrage ist bereits ein Sicherheitsvorfall — Ihr Passwort ist schon in fremden Händen. Nicht warten.
- Im Microsoft Authenticator auf Ablehnen, dann Betrug / Verdächtig melden tippen.
- Microsoft-365-Passwort sofort ändern.
- IT informieren: it@zevvy.org.