MFA Fatigue: a nova tática favorita dos hackers em violações de alto perfil
Para acessar VPNs e redes internas corporativas, os hackers geralmente usam credenciais de login de funcionários roubadas. O que, hoje em dia, está longe de ser difícil de conseguir.
Agentes de ameaças podem usar vários métodos, incluindo ataques de phishing, malware, credenciais vazadas em violações de dados ou a compra em mercados da dark web.
Por conta disso, as empresas têm adotado cada vez mais a autenticação multifator - algo que impede que os usuários façam login em uma rede sem passar por uma etapa de verificação adicional.
Hackers podem usar vários métodos para contornar a autenticação multifator, mas a maioria gira em torno do roubo de cookies por meio de malware ou estruturas de ataque de phishing man-in-the-middle, como evilginx2.
Agora, uma nova técnica de engenharia social chamada “MFA Fatigue”, também conhecida como “MFA push spam”, está se tornando mais popular entre cibercriminosos, pois não requer infraestrutura de malware ou phishing e provou ser bem-sucedida em diversos ataques.
Um ataque de MFA Fatigue pode ocorrer quando a autenticação multifator de uma organização é configurada para usar notificações por push no dispositivo móvel dos funcionários.
Nesses casos, agentes de ameaça executam um script que tenta fazer login com credenciais roubadas repetidamente, criando um fluxo interminável de notificações solicitando que o usuário verifique a tentativa de login.
Uma demonstração pode ser conferida neste vídeo criado pela empresa de suporte de segurança cibernética Reformed IT.
O objetivo é manter isso dia e noite, para quebrar a postura de segurança cibernética do alvo e infligir uma sensação de fadiga. Os alvos ficam tão sobrecarregados que podem clicar acidentalmente no botão “aprovar” ou simplesmente aceitar a solicitação de MFA para interromper as notificações.
Em muitos casos, os criminosos também entram em contato com a vítima por e-mail, mensagem ou telefone, fingindo ser do suporte de TI para convencê-la a aceitar a solicitação.
Essa técnica provou ser muito eficaz pelos agentes de ameaças Lapsus$ e Yanluowang, em ataques que violaram organizações grandes e conhecidas, como Microsoft, Cisco e, agora, a Uber.
Profissionais de segurança recomendam que as empresas desabilitem as notificações de MFA por push ou, se isso não for possível, habilitem o recurso de correspondência de números por um aplicativo autenticador.