A autenticação multifator (MFA) tem se destacado como uma barreira essencial contra acessos não autorizados em sistemas e redes. No entanto, um relatório recente da Cisco Talos revelou que os hackers estão cada vez mais criativos em suas tentativas de burlar a MFA. Neste artigo, exploraremos os métodos utilizados pelos cibercriminosos e discutiremos a importância de uma abordagem holística para a segurança cibernética.
A Prevalência da MFA nos Incidentes de Segurança
De acordo com o último relatório da Cisco Talos, quase metade de todos os incidentes de segurança que a equipe respondeu no primeiro trimestre de 2024 envolveram a MFA. Em 25% desses casos, os usuários foram vítimas de notificações fraudulentas de MFA push. Além disso, 21% dos incidentes foram comprometidos devido a uma implementação inadequada da MFA.
Ataques de “Push Spray”
O tipo mais comum de tentativa de burlar a MFA são os ataques de “push spray”, nos quais os atacantes obtêm a senha de um usuário e enviam repetidamente notificações push, esperando que a vítima as aceite. A equipe de Pesquisa em IA e Segurança da Cisco Duo analisou 15.000 ataques baseados em push entre junho de 2023 e maio de 2024. Embora a maioria desses ataques não tenha sido bem-sucedida, 5% das notificações push fraudulentas foram aceitas pelos usuários, geralmente após receberem entre uma e cinco solicitações.
Timing dos Ataques
A análise da Cisco Talos também revelou informações interessantes sobre o timing dos ataques. A maioria das tentativas fraudulentas de push ocorreu entre 10h e 16h UTC, ligeiramente à frente do horário comercial nos Estados Unidos. Isso indica que os atacantes enviam notificações push quando as pessoas estão iniciando suas atividades pela manhã ou durante o horário de trabalho, na esperança de que as notificações sejam percebidas como parte da rotina diária e, portanto, menos propensas a serem sinalizadas como suspeitas.
Métodos Criativos de Burlar a MFA
Além dos ataques baseados em push, os hackers têm sido criativos em suas tentativas de contornar a MFA. A equipe de Resposta a Incidentes da Cisco Talos listou vários métodos além dos tradicionais ataques de “push spray”, incluindo:
- Roubo de tokens de autenticação de funcionários e reprodução de tokens de sessão para obter acesso lateral nas redes;
- Engenharia social em departamentos de TI para adicionar novos dispositivos habilitados para MFA usando o dispositivo do atacante;
- Comprometimento de prestadores de serviços e alteração de seus números de telefone para que os atacantes possam acessar a MFA em seus próprios dispositivos;
- Comprometimento de um único endpoint e login no software de MFA para desativá-lo como administrador;
- Comprometimento de um funcionário para clicar em “permitir” em uma notificação de MFA push dos atacantes, também conhecido como um tipo de ataque interno.
A Importância de uma Visão Holística
Esses métodos não dependem exclusivamente das fraquezas da MFA. A engenharia social, a movimentação lateral na rede e a criação de acesso administrativo envolvem várias etapas onde sinais de alerta podem ser detectados ou, em última instância, prevenidos. Portanto, é crucial adotar uma visão holística de como um atacante pode explorar a MFA ou manipular o acesso a ela.
Conclusão
A autenticação multifator continua sendo uma medida de segurança vital, mas não é uma solução infalível. À medida que os hackers se tornam mais criativos em suas tentativas de burlar a MFA, as organizações devem estar cientes dos diversos métodos utilizados e adotar uma abordagem abrangente para a segurança cibernética. Isso inclui a implementação adequada da MFA, o treinamento dos funcionários para reconhecer tentativas de engenharia social e o monitoramento contínuo de atividades suspeitas na rede.
Na InfraTI, estamos comprometidos em fornecer soluções de segurança robustas e orientação especializada para ajudar sua empresa a se proteger contra ameaças cibernéticas em constante evolução. Entre em contato conosco para saber mais sobre como podemos fortalecer sua postura de segurança e mantê-lo um passo à frente dos cibercriminosos.