Todos os dias, as pessoas são bombardeadas com notificações. Clique aqui, pressione aquilo, bipes, alarmes, toques, a lista é interminável. Às vezes, é preciso se perguntar como alguém consegue fazer alguma coisa.
Quando você faz algo repetidamente, ele se torna rotineiro a ponto de você nem prestar mais atenção nele. Pense em quantas vezes você já ouviu alguém se referir a fazer algo "sem pensar". E todo criminoso cibernético sabe que sempre que as pessoas estão distraídas ou sobrecarregadas, isso é uma oportunidade. As ações que você realiza automaticamente sem nenhuma emoção ou deliberação consciente são fáceis de explorar.
Autenticação multifatorial (MFA) é amplamente considerada como uma etapa essencial para melhorar a segurança. Em vez de exigir apenas um nome de usuário e uma senha para acessar um recurso, a MFA acrescenta outro "fator" para identificar quem você é, como chaves de acesso, push-to-approve, senha de uso único (OTP), biometria ou um token de hardware. A MFA aumenta a segurança porque, mesmo que uma credencial seja comprometida, em teoria, qualquer usuário não autorizado não conseguiria atender ao segundo requisito de autenticação.
O problema com a MFA é que ela pode ser irritante. Como qualquer outro tipo de notificação, se você receber muitas notificações de MFA, talvez não preste tanta atenção quanto deveria. E é com isso que os agentes de ameaças estão contando. Eles esperam que, ao diminuir a atenção dos usuários, esses usuários distraídos forneçam a eles as credenciais de MFA necessárias para se autenticarem em um ambiente seguro. Essa tática é conhecida como "fadiga de MFA" e tem recebido mais atenção devido a violações de alto nível contra empresas como Uber, Cisco, Twitter, Robinhood, Okta, e Usuários do Office 365.
A fadiga de MFA é um tipo de ataque de phishing. No Estrutura MITRE ATT&CK, A autenticação multifator é definida como uma forma de "contornar os mecanismos de autenticação multifator (MFA) e obter acesso às contas gerando solicitações de MFA enviadas aos usuários".
A maneira como o ataque funciona é que um hacker obtém acesso ao nome de usuário e à senha de um funcionário, que são usados para tentar fazer um login. Isso aciona uma notificação push multifator, que tende a ser a mais vulnerável à fadiga de MFA. Muitas vezes, a notificação é uma nova janela ou caixa pop-up que aparece em um smartphone, que pede ao funcionário para aprovar ou negar a solicitação. Essas telas do tipo "Este é realmente você?" são tão comuns que, muitas vezes, as pessoas simplesmente clicam para que a notificação desapareça e elas possam continuar com seu dia.
Os agentes de ameaças imitarão essas confirmações repetidas algumas vezes, na esperança de pegar o usuário em um momento de desatenção. Se algumas solicitações não funcionarem, os hackers aumentam a aposta. Às vezes, eles inundam o programa de autenticação do usuário com várias notificações, efetivamente enviando spam para o telefone da pessoa. E, se isso não funcionar, eles podem usar outras táticas de engenharia social, como ligar ou enviar mensagens de texto fazendo-se passar pela equipe de TI ou por alguma outra autoridade para convencer o usuário a aceitar a notificação de MFA.
Assim como clicar em um link em um e-mail de phishing ou em um site de malware, aprovar uma notificação de MFA pode ter consequências catastróficas. Quando um hacker entra na rede, ele geralmente faz o possível para encontrar maneiras de se movimentar e acessar outros sistemas críticos. Se uma empresa tiver implementado várias medidas de segurança de confiança zero, como acesso com privilégios mínimos, monitoramento de endpoint e governança de identidade, ela poderá reduzir a probabilidade de comprometimento de credenciais e impedir que um invasor cause muitos danos. Mas a maioria das empresas tem brechas de segurança que podem ser usadas para obter acesso. No caso do ataque ao Uber, o invasor conseguiu encontrar um script que possibilitou o acesso à plataforma de gerenciamento de acesso privilegiado (PAM) da empresa.
Educar
Pode não ser uma solução empolgante de alta tecnologia, mas a educação do usuário é o elemento mais importante para evitar que esses tipos de ataques de "bombardeio imediato" sejam bem-sucedidos. É como se alguém batesse à sua porta ou usasse uma campainha para entrar em seu prédio. Você não os deixa entrar sem olhar pela janela ou perguntar "quem é?". Se você receber uma notificação por push, pense antes de clicar. Por que você aprovaria uma solicitação de login quando não está fazendo login? A resposta é que você absolutamente não deveria.
Ter a tecnologia certa
Embora seja fundamental educar os usuários sobre os riscos da MFA, a tecnologia também pode ajudar. Ao fornecer contexto adicional na notificação de MFA, os usuários podem tomar uma decisão informada sobre a aprovação ou não. Por exemplo, algumas soluções de MFA exibem o registro de data e hora, o aplicativo e/ou o local na notificação. Outras exibem um código de login exclusivo na página de login da Web que deve ser correspondido ao mesmo código na notificação. Ou considere o uso de senhas OTP em vez de push, que tendem a ser mais resistentes a esses ataques. Seja qual for a solução escolhida, essas técnicas reduzirão a possibilidade de os usuários finais aprovarem acidentalmente solicitações que não foram iniciadas por eles.
Envolver o acesso adaptativo
As soluções não devem ser únicas: o contexto também pode ser empregado para atenuar os ataques de fadiga de MFA, limitando a capacidade do possível invasor de enviar spam a usuários desavisados. Acesso adaptável e autenticação baseada em risco pode limitar as solicitações de login a locais confiáveis específicos ou a dispositivos conhecidos, a análise comportamental pode ajudar a detectar atividades anormais de login e a limitação de taxa pode limitar as tentativas consecutivas de login sem sucesso.
Não usar senha
Quando possível, considere métodos sem senha como uma alternativa à MFA baseada em notificação. O FIDO2, por exemplo, foi projetado especificamente para resistir a ataques de phishing e "man in the middle" (MitM) ou "adversary in the middle" (AitM), exigindo uma conexão criptográfica direta entre o autenticador e o aplicativo da Web. No entanto, mesmo com métodos resistentes a phishing, como o FIDO, a MFA é tão segura quanto o ciclo de vida da credencial. Esse ciclo de vida começa com Inscrição no MFA, mas também inclui eventos como o dispositivo substituição e redefinição de credenciais. Essas atividades são algumas das instâncias mais prováveis para que os invasores obtenham acesso não autorizado.
Monitorar constantemente
Por fim, as organizações devem reconhecer que a prevenção é apenas metade da solução. Os sistemas de identidade também devem ajudar na detecção e correção de ataques em andamento. Falhas consecutivas de login ou tentativas excessivas de login são dois exemplos de possíveis indicadores de atividade suspeita. Essas informações podem ser inseridas nas soluções de gerenciamento de eventos e informações de segurança (SIEM) para uma investigação mais aprofundada pela equipe de operações de segurança ou usadas para acionar uma revisão de conta em um governança e administração de identidade (IGA).
Ao educar os usuários e implementar controles mais robustos em seus processos de MFA, as organizações podem reduzir o risco de fadiga de MFA. Também é importante garantir que a empresa com a qual você está trabalhando tenha proteções em seus sistemas. A RSA tem uma papel branco que fornece uma visão geral de nossas políticas de segurança com informações sobre nossas medidas de segurança, incluindo nossas práticas, operações e controles sobre o ID Plus. E para obter informações em tempo real sobre o desempenho do nosso sistema e avisos de segurança, você pode visitar nosso página de segurança.
A abordagem da RSA é mais resistente à fadiga da MFA: é por isso que as organizações que priorizam a segurança nos procuram para ajudá-las a proteger seus negócios. Para obter mais informações sobre os riscos de autenticação e como a RSA pode ajudá-lo a se afastar da segurança que depende de senhas, consulte nosso resumo da solução: Autenticação sem senha: The Time Is Now, and Help Is Here (A hora é agora e a ajuda está aqui).
###
Experimente gratuitamente o MFA em nuvem mais implantado do mundo.
