Fadiga MFA: como os criminosos estão burlando a autenticação multifatorial
É cada vez mais evidente que, por mais complexas e fortes que as senhas sejam, elas já não são mais um método seguro de autenticação, sendo necessário adicionar uma “camada extra” de segurança para se proteger contra o crime cibernético. E é por isso que, ao longo dos últimos anos, especialistas do setor têm advogado fortemente o uso da autenticação multifatorial — também conhecida por vários outros nomes e siglas, como autenticação dupla, autenticação de dois fatores, MFA, 2FA etc.
Estamos falando daquela etapa adicional no processo de autenticação na qual o internauta precisa informar um código gerado aleatoriamente e enviado para seu celular via SMS ou através de um aplicativo dedicado. No mundo corporativo, as soluções de gestão de identidade tornaram tudo ainda mais fácil: basta confirmar a tentativa de login em uma notificação push que surge no seu smartphone.
Porém, um novo tipo de golpe tem colocado em xeque a segurança da autenticação multifatorial: estamos falando do MFA Fatigue, termo que pode ser traduzido literalmente como “fadiga de MFA”. Esse é um ataque que deixou muitos especialistas em alerta, já que ele foi usado — com sucesso! — para invadir contas legítimas de colaboradores de grandes empresas ao longo de 2022. Com sua popularidade aumentando, é crucial conscientizar os colaboradores a respeito dessa ameaça.
Spam de notificações
A palavra “fadiga” não foi usada à toa para batizar esse novo golpe: o objetivo dele é literalmente tentar vencer a vítima pelo cansaço. Para aplicar o ataque, é necessário que o criminoso possua a senha de login do alvo, geralmente obtida através de vazamentos de dados ou via campanhas de phishing. A partir daí, ele começa a enviar requisições de autenticação repetidamente em um curto intervalo de tempo, criando uma onda de “spam” de solicitações de autenticação dupla no dispositivo móvel do colaborador.
A ideia é que a vítima se canse de receber tantas notificações sobre permitir ou negar a autenticação que, depois de algumas horas, ela acredite que tanta insistência é um bug do sistema de autenticação multifatorial e simplesmente clique em “Permitir” para fazer as notificações pararem. Pronto: após muita insistência automatizada e depois de dar uma canseira no alvo, o ator malicioso finalmente conseguiu transpor a barreira do login em duas etapas — e o próprio dono da conta permitiu a sua entrada.
Tem como resolver?
Embora o aumento no caso de tentativas de ataques desse tipo tenha crescido de forma vertiginosa em 2022, vale a pena acalmar os ânimos e ressaltar que, no fim das contas, não é tão difícil assim adotar medidas que mitiguem (ou ao menos dificultem) a ação dos cibercriminosos. Para a equipe de segurança da informação, basta criar uma regra em sua solução de gestão de identidade e acesso que bloqueie o envio de notificações após uma certa quantidade de solicitações de autenticação negadas pelo usuário, evitando a fadiga.
Claro, também é essencial educar o colaborador para que ele entenda que aquela avalanche de notificações pode não ser um erro do sistema, mas sim um ator malicioso tentando invadir a conta. Caso perceba que isso está acontecendo com você, o melhor a se fazer é acionar imediatamente a equipe de segurança da informação, que tomará as medidas adequadas para resguardar suas credenciais.