O aumento dos incidentes de roubo de credenciais compeliu as empresas a implementar a autenticação multifator (MFA) para proteger seus funcionários das graves implicações do roubo de senhas. Mas os hackers agora estão realizando ataques de fadiga MFA para contornar essa categoria suplementar de proteção.
Logo, o que é fadiga MFA? Uma vez que funcionam esses ataques? E o que você pode fazer para se proteger?
O que é um ataque de fadiga MFA?
Um ataque de fadiga de MFA envolve bombardear um proprietário de conta incessantemente com notificações push de MFA até que ele deslize ou seja desgastado psicologicamente e aprove a solicitação de login.
Depois que uma solicitação de MFA é aprovada, os hackers podem acessar a conta do usuário e usá-la uma vez que quiserem.
O principal objetivo de tal ataque é enviar uma enxurrada interminável de notificações push de MFA para infligir uma sensação de fadiga ao proprietário da conta.
No devido tempo, essa fadiga da MFA faz com que o proprietário da conta aprove a solicitação de ingresso acidentalmente ou conscientemente para interromper as notificações por push da MFA.
Uma vez que funciona um ataque de fadiga MFA
Com cada vez mais aplicativos e serviços adotando a autenticação multifator, a aprovação de notificações push de MFA pode se tornar uma tarefa rotineira quando os proprietários de contas precisam revalidar solicitações de MFA várias vezes ao dia. Eventualmente, revalidar notificações push de MFA diariamente pode tornar os proprietários de contas desatentos.
Aliás, o bombardeio ordenado de notificações de MFA pode desgastar os proprietários de contas, levando-os a revalidar a solicitação de ingresso, simplesmente para impedir que as notificações os incomodem.
Uma vez que os titulares de contas costumam usar aplicativos de autenticação em seus smartphones, os hackers podem atacá-los 24 horas por dia, 7 dias por semana, para desgastá-los.
O que acontece em um ataque de fadiga MFA?
A primeira lanço dos ataques de fadiga de MFA é obter as credenciais de login de um usuário da conta. Existem muitos truques comuns para hackear senhas, incluindo ataques de phishing, spidering e força bruta.
Quando um invasor tem as credenciais de login de um usuário, ele os bombardeia com prompts de autenticação multifator.
Os atacantes esperam que:
- O usuário aprovará a tentativa de login por ilusão.
- O usuário cederá devido à pressão psicológica exercida por um fluxo interminável de solicitações de MFA.
Os ataques de fadiga de MFA podem ser facilmente automatizados. E muitas vezes, a engenharia social é combinada com um ataque de fadiga de MFA para tornar o ataque bem-sucedido.
Por exemplo, o usuário de orientação recebe um e-mail de phishing solicitando que o usuário aprove a solicitação de MFA. Um e-mail de phishing também pode informar ao mira que ele pode receber uma enxurrada de várias solicitações de MFA nos próximos dias, à medida que um novo sistema de segurança está sendo implementado. O e-mail pode informar ainda que as solicitações de MFA serão interrompidas mal o proprietário da conta revalidar a tentativa de login.
Uma vez que se proteger de um ataque de fadiga MFA
Cá estão algumas maneiras de se manter seguro contra ataques de fadiga de MFA.
1. Ativar contexto suplementar
Habilitar contexto suplementar em solicitações de MFA pode oferecer melhor segurança e protegê-lo contra ataques de fadiga de MFA.
O contexto suplementar em uma solicitação de MFA ajuda você a entender qual conta acionou a notificação de MFA, a hora do dia em que a tentativa de login foi feita, o dispositivo usado para tentar um login e a localização do dispositivo em que a tentativa de login foi feita.
Se você vir várias solicitações de MFA acionadas de um lugar ou dispositivo incógnito quando não estiver tentando fazer login na conta, é um sinal de que um agente de prenúncio está tentando enviar spam para você. Você deve imediatamente mudar a senha dessa conta e informe seu departamento de TI se estiver vinculado a uma rede da empresa.
Muitos aplicativos MFA têm esse recurso ativado por padrão. Se o seu aplicativo autenticador não mostrar contexto suplementar, mergulhe nas configurações do seu aplicativo para verificar se ele tem a opção de permitir contexto suplementar.
2. Adote a autenticação baseada em risco
O uso de um aplicativo autenticador com capacidade de autenticação baseada em risco pode ajudar na resguardo contra ataques de fadiga de MFA. Esse aplicativo pode detectar e examinar sinais de ameaças com base em padrões de ataque conhecidos e ajustar os requisitos de segurança de combinação.
Os padrões de ameaças conhecidos incluem, mas não estão limitados ao lugar incomum da tentativa de login, falhas repetidas de login, assédio por push de MFA e muito mais.
Verifique se seu aplicativo MFA oferece autenticação baseada em risco. Se isso ocorrer, habilite-o para permanecer protegido contra spam por push de MFA.
3. Implemente a autenticação FIDO2
Adotar a forma de autenticação FIDO2 em qualquer empresa pode evitar ataques de fadiga de MFA.
O FIDO2 fornece aos usuários autenticação sem senha e autenticação multifator com base em biometria. Uma vez que suas credenciais de login não saem do seu dispositivo, isso elimina o risco de roubo de credenciais, de modo que os agentes de ameaças não podem realizar spam de notificação de MFA.
4. Desative a notificação por push uma vez que método de verificação
O recurso de notificações push do MFA foi projetado para oferecer facilidade de uso. Os proprietários de contas só precisam clicar em “Sim” ou “Permitir” para fazer login em suas contas.
Os ataques de fadiga de MFA exploram esse recurso de aplicativos autenticadores. Desabilitar essas notificações push simples uma vez que um método de verificação em seu aplicativo autenticador é uma maneira comprovada de aumentar a segurança da MFA.
Cá estão alguns métodos que você pode usar para verificar uma solicitação de MFA:
- Correspondência de números.
- Repto e resposta.
- Senha de uso único baseada em tempo.
A vantagem de usar a correspondência de número ou a senha descartável baseada em tempo uma vez que método de verificação é que os usuários não podem revalidar uma solicitação de MFA por acidente; eles precisarão das informações necessárias para concluir o processo de verificação.
Verifique seu aplicativo de autenticação para saber qual recurso de verificação de MFA você pode usar em vez de notificações push simples, solicitando que os usuários cliquem em “Sim” ou “Permitir” para revalidar tentativas de login.
5. Limite as solicitações de autenticação
Limitar o número de solicitações de ingresso em um aplicativo autenticador pode ajudar a evitar bombardeios imediatos ou fadiga de MFA. Mas nem todos os autenticadores oferecem esse recurso.
Verifique se o seu autenticador MFA permite limitar as solicitações de autenticação; depois disso, a conta será bloqueada.
6. Divulgue a conscientização sobre segurança em torno da MFA
Se você administra uma empresa, a melhor maneira de impedir ataques de fadiga de MFA é o treinamento de conscientização de segurança. Certifique-se de que seus funcionários saibam uma vez que é um ataque de fadiga de MFA e o que fazer quando isso ocorrer. Aliás, eles devem ser capazes de identificar um e-mail de phishing, solicitando a aprovação de solicitações de MFA.
O treinamento regular de seus funcionários sobre as melhores práticas de segurança cibernética ajuda muito a proteger as contas.
Não seja empurrado para um erro
A autenticação multifator adiciona uma categoria extra de segurança às suas contas. Ele protegeria suas contas mesmo que os agentes de ameaças tivessem chegada às suas credenciais de login. Mas você deve estar discreto a um ataque de fadiga MFA. Pode ser rés, mas não ceda.
Barnabé Ferreira