Um ataque de fadiga de MFA, também conhecido como bombardeamento de MFA, é uma tática, técnica e procedimento (TTP) de ataque em que um agente de ameaça inunda os utilizadores com pedidos de autenticação multifactor (MFA). Ao sobrecarregar, confundir ou distrair o utilizador para que aprove um pedido fraudulento, os atacantes esperam obter acesso ao seu ambiente de rede.
A Microsoft observou recentemente que, em meados de 2023, estava a observar quase 6.000 tentativas de fadiga de MFA por dia. Aprender como são esses ataques e como se defender contra eles é uma atitude inteligente.
O que é o MFA?
A autenticação multifactor (MFA) é uma medida de segurança que exige que os utilizadores forneçam dois ou mais tipos distintos de identificação para aceder a uma conta ou sistema. Esta abordagem aumenta a segurança: Mesmo que um fator de autenticação seja comprometido, os factores adicionais podem impedir o acesso não autorizado.
O que é a fadiga do MFA?
A maioria dos utilizadores compreende o valor do MFA. Mas muitos estão cansados das inúmeras notificações push que compõem o dia de trabalho moderno. O cansaço do MFA ocorre quando os utilizadores ficam tão sobrecarregados com as notificações que já não prestam toda a atenção a cada uma delas.
Um ataque de fadiga de MFA não é um meio direto de contornar a MFA. Em vez disso, essa TTP explora o erro humano e a fadiga durante o processo de MFA. A abordagem capitaliza a confiança que os utilizadores depositam na MFA e a sua subsequente expetativa de que qualquer pedido de MFA é um pedido legítimo.
Muitas vezes, o atacante espera que o utilizador aprove um pedido fraudulento no meio de uma série de pedidos legítimos. Os ataques de fadiga da MFA realçam a importância não só de ter a MFA implementada, mas também de formar os utilizadores para serem cautelosos e exigentes quanto aos pedidos de MFA que aprovam.
O perigo dos ataques de fadiga do MFA
Os ataques de fadiga de MFA, embora muitas vezes subtis na execução, têm implicações profundas na segurança e na dinâmica de confiança dentro da sua organização. Estes ataques não só ameaçam diretamente a sua segurança digital, como também afectam negativamente a confiança e o estado mental dos utilizadores.
Eis algumas consequências potenciais de um ataque de fadiga do MFA.
- Acesso não autorizado: Um perigo imediato do bombardeamento de MFA é uma potencial violação de recursos seguros. Suponha que um utilizador aprova por engano um pedido de MFA desonesto. Os invasores podem explorar esse lapso para obter acesso não autorizado a dados, sistemas ou aplicativos confidenciais. Um ataque bem-sucedido de fadiga de MFA não apenas coloca em risco as informações proprietárias da sua organização, mas também pode ter repercussões legais e financeiras.
- Negação de serviço: A MFA é vista principalmente como uma medida de segurança para proteger o acesso. Ironicamente, o bombardeamento da MFA pode aproveitar esse processo para negar o acesso. Ao sobrecarregar o sistema com uma grande quantidade de pedidos de MFA, os atacantes podem causar um impasse, impedindo os utilizadores legítimos de acederem às suas contas. Este cenário pode ser particularmente prejudicial se as operações sensíveis ao tempo ou os processos comerciais críticos forem interrompidos.
- Erosão da confiança: Talvez o impacto mais insidioso do bombardeamento de MFA seja o seu efeito a longo prazo na perceção e confiança do utilizador. Cada solicitação de MFA falsa ou desnecessária serve como um lembrete da vulnerabilidade do sistema. Ao longo do tempo, com alarmes falsos frequentes, os utilizadores podem começar a duvidar da eficácia do sistema MFA. Esta confiança reduzida pode gerar complacência, tornando os utilizadores ainda mais susceptíveis a futuros ataques de fadiga MFA. Além disso, se os utilizadores passarem a ver a MFA como uma fonte constante de interrupções e confusão, em vez de uma medida de segurança essencial, podem ficar mais inclinados a contorná-la ou a resistir-lhe.
Como é que um ataque de fadiga MFA funciona?
Ao compreender os mecanismos utilizados pelos adversários, que vão desde campanhas de phishing enganosas a tentativas estrategicamente programadas, as equipas de segurança podem preparar-se melhor e defender-se contra estas ameaças insidiosas.
- Iniciação baseada em phishing: O atacante começa por enviar e-mails de phishing concebidos para capturar as credenciais principais do utilizador. Quando o atacante tem essas credenciais, inicia o processo de bombardeamento MFA.
- Geração rápida de pedidos: Utilizando ferramentas ou scripts automatizados, o atacante dispara rapidamente várias tentativas de início de sessão. Cada tentativa desencadeia um pedido MFA ao utilizador. O objetivo é criar um dilúvio de pedidos de autenticação multifunções e cansaço da autenticação multifunções.
- Pedidos maliciosos mascarados: No meio dos pedidos MFA legítimos resultantes das tentativas de início de sessão do atacante, este pode intercalar pedidos MFA maliciosos para uma conta ou serviço diferente. O atacante espera que, na confusão, o utilizador aprove o pedido errado.
- Tempo: O atacante pode programar estrategicamente o ataque para uma altura em que o utilizador possa estar distraído, por exemplo, no início de um dia de trabalho ou logo após a pausa para o almoço.
Exemplos de um ataque de fadiga de MFA
Os ataques de fadiga de MFA parecem ser os favoritos do grupo de ataque Lapsus$, que usou o TTP contra a Uber em 2022. A Cisco também tem sido um alvo de fadiga de MFA, assim como várias empresas e organizações governamentais.
Como é que um ataque MFA se pode desenrolar? Considere estes exemplos.
- Sobrecarga de notificações push: Um funcionário utiliza uma aplicação móvel para MFA, que envia notificações push para aprovação. Um atacante, depois de obter as credenciais de início de sessão primárias através de uma campanha de phishing separada, inicia uma enxurrada de tentativas de início de sessão. O telemóvel do funcionário é inundado com notificações push. Na confusão que se segue, o funcionário aprova inadvertidamente uma tentativa maliciosa de início de sessão num sistema ou repositório de dados sensíveis.
- Confusão de códigos SMS: Um funcionário recebe códigos MFA por SMS. Um atacante, armado com as credenciais primárias do funcionário, inicia o processo de login várias vezes em rápida sucessão. O telefone do funcionário é bombardeado com códigos SMS, o que torna difícil discernir qual deles é realmente necessário para uma ação legítima que está a tentar realizar. No meio do caos, pode utilizar um código enviado pelo atacante para um início de sessão malicioso.
- Mascaramento de serviço legítimo: Um funcionário utiliza vários serviços que dependem todos da mesma aplicação MFA para autenticação. Um atacante inicia vários logins num serviço menos crítico, inundando a aplicação MFA com pedidos. Escondido entre esses pedidos está um para um serviço mais sensível. O funcionário sobrecarregado aprova por engano o acesso a este serviço crítico.
Lutar contra o cansaço do MFA
No intrincado jogo da ciberdefesa, compreender e combater as ameaças em evolução requer uma mistura de consciencialização do utilizador e salvaguardas tecnológicas robustas. Considere estas tácticas para ajudar a combater os ataques de fadiga de MFA.
- Correspondência de números: Se um desafio MFA exigir uma correspondência de números, o utilizador tem de ter visibilidade para a sessão de autenticação de origem - o que não pode acontecer num ataque de fadiga MFA.
- Geolocalização: Apresentar informações de geolocalização, mesmo quando inexactas, como parte do desafio MFA fornece mais contexto ao utilizador. Se um utilizador localizado em Los Angeles receber um pedido de envio com uma geolocalização de Copenhaga, pode reconhecer que o pedido tem algo de suspeito.
- Formação dos utilizadores: O elemento humano continua a ser um dos aspectos mais vulneráveis de qualquer estratégia de segurança. Por conseguinte, é fundamental uma formação abrangente dos utilizadores. Isto implica não só familiarizar os utilizadores com o conceito de ataques de fadiga MFA, mas também incutir a precaução habitual. Workshops regulares, ataques simulados e lembretes consistentes podem ajudar os utilizadores a reconhecer actividades suspeitas. Ao verificar o contexto de cada solicitação de MFA, seus funcionários podem reduzir significativamente a chance de conceder acesso por engano.
- Limitação da taxa: Uma das contramedidas técnicas mais eficazes é a limitação da taxa. Ao definir um limite para o número de pedidos MFA permitidos num determinado período, reduz consideravelmente a capacidade dos atacantes de inundar os utilizadores com notificações. Esta abordagem não só dificulta a capacidade dos atacantes de confundir o alvo, como também fornece uma camada de proteção contra potenciais tentativas de ataque de força bruta.
- Registo e monitorização: O registo contínuo e completo das tentativas de autenticação tem um duplo objetivo. Em primeiro lugar, ao manter um registo detalhado, as organizações podem realizar análises pós-incidente para compreender e resolver vulnerabilidades. Em segundo lugar, as ferramentas de monitorização em tempo real podem avaliar estes registos e utilizar a aprendizagem automática ou a análise heurística para detetar padrões consistentes com um ataque de fadiga de MFA. Quando esses padrões surgem, os alertas automáticos podem notificar as equipas de segurança para investigarem mais.
- Mecanismo de feedback: Permitir que os utilizadores sejam uma parte ativa da estratégia de defesa pode ser incrivelmente eficaz. Ao criar um mecanismo de feedback fácil de utilizar, os utilizadores podem comunicar rapidamente solicitações MFA suspeitas ou outras anomalias. Esta capacidade não só ajuda as equipas de TI a receber alertas imediatos sobre potenciais ameaças, como também promove uma cultura de segurança em que cada indivíduo se sente responsável pela proteção dos activos digitais.
Vencer o cansaço da MFA
O bombardeamento de MFA apresenta um desafio multifacetado, contrastando os avanços tecnológicos da segurança com as vulnerabilidades do comportamento humano. Através de tácticas como o phishing, a geração rápida de pedidos e os pedidos maliciosos mascarados, os atacantes transformaram em arma uma ferramenta destinada a proteger os utilizadores.
A MFA continua a ser um mecanismo de defesa robusto, mas a sua eficácia pode ser comprometida quando os utilizadores estão sobrecarregados ou com pouca formação. A chave para combater a fadiga do MFA não reside apenas em contramedidas tecnológicas, mas na educação e capacitação dos utilizadores.
Ao combinar a sensibilização com defesas pró-activas, como a limitação da taxa e os mecanismos de feedback, as organizações podem manter a santidade dos seus sistemas de segurança e, ao mesmo tempo, proteger os utilizadores contra a exploração. A consciencialização, a vigilância e a adaptação contínua continuam a ser os seus melhores aliados.