O que você verá neste artigo?
Como você pode proteger a sua empresa contra ataques de bombardeamento de prompts e fadiga do MFA:
- Eduque os usuários sobre o perigo de aprovar um prompt de autenticação não reconhecido e incentive-os a relatar isso à sua equipe de segurança e alterar sua senha se isso ocorrer.
- Considere usar métodos de autenticação alternativos para determinados aplicativos ou situações. A confiança na identidade e a lista de usuários de alto risco podem ser de grande ajuda.
- Monitore logs de negação ou de pedidos de push expirados e gere alertas quando eles são detectados em sucessão.
- Proteja o processo de inscrição do dispositivo MFA.
- Ative alertas por e-mail para alterações de dispositivo.
A autenticação de múltiplos fatores (MFA) é amplamente considerada como item essencial para melhorar a segurança. Em vez de exigir apenas um nome de usuário e senha para acessar um recurso, o MFA adiciona outro “fator” para identificar quem você é, como aprovação por push, senha única (OTP), biometria ou um token de hardware. O MFA melhora a segurança porque, mesmo que uma credencial seja comprometida, teoricamente, nenhum usuário não autorizado seria capaz de atender ao segundo requisito de autenticação.
Teoricamente…
Quando o MFA dá errado
O problema com o MFA é que ele pode ser irritante. Como qualquer outro tipo de notificação, se você receber muitas notificações de MFA, pode não prestar tanta atenção quanto deveria. E é aí que o criminosos entra. Eles esperam que, ao erodir a atenção de seus usuários, esses usuários distraídos lhes darão as credenciais de MFA de que precisam para se autenticar em um ambiente seguro. Essa tática é chamada de “fadiga de MFA” e vem recebendo cada vez mais atenção por causa de violações em empresas como Uber, Cisco, Twitter, Robinhood, Okta, e usuários do Office 365.
A fadiga do MFA é um tipo de ataque de phishing. No quadro de referência MITRE ATT&CK, é definido como uma maneira de “burlar mecanismos de autenticação de múltiplos fatores (MFA) e obter acesso a contas gerando solicitações de MFA enviadas aos usuários.”
Como o ataque funciona?
O ataque funciona da seguinte forma, um hacker obtém acesso a um nome de usuário e senha de um funcionário, que é então usado para tentar fazer login. Isso aciona uma notificação de push de vários fatores, que tende a ser a mais vulnerável à fadiga do MFA. Muitas vezes, a notificação é uma nova janela ou caixa de pop-up que aparece em um smartphone, que pede ao funcionário para aprovar ou negar o pedido. Essas telas de “Este é realmente você?” são tão comuns que, muitas vezes, as pessoas simplesmente clicam para fazê-las desaparecer, para poderem continuar com o dia.
Os atores de ameaças imitarão essas confirmações rotineiras algumas vezes, esperando pegar o usuário em um momento de distração. Se algumas solicitações não funcionarem, os hackers aumentarão a aposta. Às vezes, eles inundam o programa de autenticação do usuário com várias notificações, efetivamente enviando spam para o telefone da pessoa. E se isso não funcionar, eles podem usar outras táticas de engenharia social, como ligar ou enviar mensagens de texto se fazendo passar por equipe de TI ou alguma outra autoridade para convencer o usuário a aceitar a notificação do MFA.
Assim como clicar em um link em um e-mail de phishing ou em um site de malware, aprovar uma notificação de MFA pode levar a consequências catastróficas. Depois que um hacker entra na rede, eles geralmente fazem o melhor para encontrar maneiras de se mover e acessar outros sistemas críticos. Se uma empresa implementou várias medidas de segurança como o ZeroTruat, como acesso de privilégio mínimo, monitoramento de endpoint e governança de identidade, eles podem tanto reduzir a probabilidade de comprometimento de credenciais quanto impedir que um invasor faça muito dano.
Mas a maioria das empresas tem lacunas de segurança que podem ser usadas para obter acesso. No caso do ataque à Uber, o invasor conseguiu encontrar um script que tornou possível para o acesso à plataforma de gerenciamento de acesso privilegiado (PAM) da empresa.
Prevenindo ataques de fadiga de MFA
Pode não ser uma solução tecnológica das mais atraentes, mas a educação do usuário é o elemento mais importante na prevenção desses tipos de ataques de “bombardeio de prompt”. É como alguém batendo na sua porta ou usando um interfone para entrar na sua casa. Você não os deixa entrar sem olhar pela janela ou perguntar: “quem é?” Se você receber uma notificação de push, pense antes de clicar. Por que você jamais aprovaria uma solicitação de login quando não está fazendo login? A resposta é que você absolutamente não deveria.
Embora a educação dos usuários sobre os riscos do MFA seja fundamental, a tecnologia também pode ajudar. Ao fornecer contexto adicional dentro da notificação de MFA, os usuários podem tomar uma decisão informada se devem aprovar. Por exemplo, algumas soluções de MFA exibem o horário, aplicativo e/ou localização dentro da notificação. Outras exibem um código de login exclusivo na página de login da web que deve ser correspondido ao mesmo código na notificação. Ou considere utilizar senhas únicas em vez de notificações de push, que tendem a ser mais resistentes diante desses ataques. Qualquer que seja a solução escolhida, essas técnicas reduzirão a possibilidade de os usuários finais aprovarem acidentalmente solicitações que não iniciaram.
Não existe solução única que atende a todas as empresas: o contexto também pode ser empregado para mitigar os ataques de fadiga de MFA, limitando a capacidade do potencial atacante de enviar spam para usuários desprevenidos. O acesso adaptativo e a autenticação baseada em risco podem limitar as solicitações de login a locais confiáveis específicos ou dispositivos conhecidos, a análise comportamental pode ajudar a detectar atividades de login anormais e a limitação de taxa pode restringir as tentativas de login mal-sucedidas consecutivas.
Quando possível, considere métodos sem senha (Passwordless / Passkeys) como alternativa ao MFA baseado em notificação. O FIDO2, por exemplo, é especificamente projetado para resistir a ataques de “man-in-the-midle”, exigindo uma conexão criptográfica direta entre o autenticador e o aplicativo da web. Mesmo com métodos resistentes a phishing como o FIDO, no entanto, o MFA é tão seguro quanto o ciclo de vida da credencial. Esse ciclo de vida começa com a inscrição no MFA, mas também inclui eventos como o dispositivo de substituição e redefinições de credenciais. Essas atividades são algumas das instâncias mais prováveis para os invasores obterem acesso não autorizado.
Reduzindo os riscos
As empresas precisam reconhecer que a prevenção é apenas metade da solução. Os sistemas de identidade também devem auxiliar na detecção e remediação de ataques em andamento. Falhas consecutivas de login ou tentativas excessivas de login são dois exemplos de indicadores potenciais de atividade suspeita. Essas informações podem ser alimentadas em soluções de gerenciamento de informações e eventos de segurança (SIEM) para investigação adicional pelo pessoal de Operações de Segurança ou usadas para desencadear uma revisão de conta em uma plataforma de governança e administração de identidade (IGA).
A autenticação de múltiplos fatores (MFA) é um passo crítico para melhorar a segurança, mas a fadiga de MFA é um tipo de ataque de phishing que pode ser explorado por hackers. Ao educar os usuários e implementar controles mais robustos em torno dos processos de MFA, as organizações podem reduzir o risco de fadiga de MFA. Também é importante garantir que a empresa com a qual você está trabalhando tenha proteções em seus sistemas.