Pular para o conteúdo

Esta postagem foi publicada pela primeira vez em 2022 e foi atualizada. 

Com Relatórios recentes de bombardeio imediato bem-sucedido do MFA, Também conhecido como push bombing ou ataques de fadiga de MFA, a RSA tem recebido mais solicitações de orientação prática sobre como reduzir o risco. Já descrevemos anteriormente como os invasores usam solicitações de aprovação repetidas para pressionar os usuários a aceitarem uma tentativa de login fraudulenta. Esta postagem se baseia nesse fundamento e se concentra em RSA ID Plus configurações que você pode usar para detectar padrões suspeitos, limitar as aprovações por push quando o risco for elevado e fortalecer suas defesas contra o bombardeio de solicitações de MFA.

O que é o bombardeio de prompt do MFA?

O MFA prompt bombing, também chamado de push bombing ou Ataque de fadiga do MFA, A invasão de MFA, quando um invasor aciona repetidamente solicitações de aprovação de MFA para o dispositivo de um usuário. O objetivo é sobrecarregar o usuário até que ele aprove uma solicitação, geralmente após o invasor já ter obtido a senha do usuário.

Isso funciona porque o push-based autenticação multifatorial depende de um usuário para negar solicitações suspeitas no momento. Os fatores que exigem uma entrada deliberada do usuário, como a inserção de uma senha de uso único ou o uso de um autenticador resistente a phishing, geralmente são menos suscetíveis porque um invasor não pode simplesmente enviar aprovações por spam.

Como funciona o bombardeio de solicitações de MFA?

Os ataques de MFA prompt bombing, push bombing e MFA fatigue geralmente começam depois que um invasor obtém um nome de usuário e uma senha válidos. O invasor tenta fazer login e aciona repetidamente solicitações de MFA baseadas em push para o dispositivo registrado do usuário. Cada solicitação pede que o usuário aprove ou negue a tentativa de login.

Como a autenticação por push foi projetada para ser conveniente, os usuários podem aprovar o acesso com um único toque. Se forem enviadas solicitações suficientes em sucessão, um usuário distraído ou cansado pode acabar aprovando uma solicitação, permitindo que o invasor conclua o processo de autenticação.

A autenticação baseada em push funciona bem em cenários legítimos porque elimina a necessidade de um autenticador físico e reduz o atrito em comparação com tokens de hardware ou senhas de uso único inseridas manualmente. No entanto, esse modelo de aprovação ou negação depende do usuário para reconhecer e rejeitar tentativas suspeitas, o que cria uma oportunidade para ataques de bombardeio imediato.

Tipos de ataques de bombardeio de MFA

Embora a maioria dos ataques de bombardeio de MFA tenha como alvo as notificações push, há variações que as equipes de segurança devem entender:

  • Push Bombing (Fadiga clássica do MFA): Notificações push repetidas são enviadas até que o usuário aprove uma solicitação.
  • Ataques híbridos de engenharia social: Após iniciar o push bombing, o invasor entra em contato com o usuário, fazendo-se passar pelo suporte de TI, e o instrui a aprovar a solicitação. 
  • Tentativas de inundação de OTP: Em alguns casos, os invasores acionam repetidamente senhas de uso único por meio de SMS ou outros canais de entrega, tentando confundir o usuário ou combinar a tática com phishing.

Compreender essas variações ajuda as organizações a projetar defesas em camadas, em vez de confiar apenas na vigilância do usuário.

Por que o bombardeio imediato funciona

Os ataques de prompt bombing são bem-sucedidos porque visam tanto o comportamento humano quanto a tecnologia. Quando os usuários recebem repetidas solicitações de autenticação, chamadas telefônicas ou mensagens, os invasores pretendem criar confusão, urgência e comportamento de aprovação rotineiro. É por isso que a defesa contra a fadiga da MFA começa com o fornecimento aos usuários de expectativas claras, caminhos simples de relatório e maneiras confiáveis de verificar solicitações suspeitas.

O usuário precisa de treinamento contínuo para manter a conscientização

Os usuários devem saber que qualquer solicitação de autenticação que não tenha sido iniciada por eles deve ser tratada como suspeita. O treinamento anual de conscientização sobre segurança pode apoiar a conformidade, mas raramente prepara usuários para tentativas rápidas de engenharia social. Orientações curtas e repetidas são mais eficazes porque reforçam a aparência do comportamento suspeito em situações reais.

Os usuários precisam de uma maneira clara de responder 

Quando os usuários recebem uma notificação push inesperada ou uma mensagem de acompanhamento, eles devem saber exatamente o que fazer em seguida. Isso significa fornecer uma maneira simples e conhecida de relatar o problema e entrar em contato com a central de serviços ou com a equipe de segurança. Quanto mais fácil for esse processo, maior será a probabilidade de os usuários agirem rapidamente.

A verificação reduz o risco de engenharia social

Os invasores geralmente combinam o push bombing com chamadas, textos, e-mails ou mensagens de bate-papo para pressionar os usuários a aprovarem uma solicitação. As organizações devem definir como as equipes de suporte entram em contato com os usuários de forma legítima e oferecer aos funcionários um método confiável para verificar as comunicações antes de agir.

Perguntas a serem feitas

As equipes de segurança devem considerar as seguintes questões para se defenderem contra ataques de bombardeio imediato de MFA:

  • Os usuários sabem como responder a uma solicitação push inesperada?
  • Os usuários podem relatar rapidamente um evento de autenticação suspeito?
  • Os funcionários sabem como entrar em contato com a central de serviços ou com a equipe de segurança?
  • Os usuários entendem como deve ocorrer o alcance legítimo do suporte?
  • Existe um processo claro para verificar se uma mensagem, chamada ou solicitação é real?
Como detectar ataques de bombardeio de prompt de MFA

Em cenários de bombardeio de prompts, os invasores geram aprovações push repetidas em um curto período de tempo. Os usuários geralmente negam ou ignoram os primeiros prompts, mas uma única aprovação acidental pode concluir o login. Isso torna essencial a detecção baseada em padrões.

Procure indicadores como:

  • Recusas repetidas de envio ou tempos limite para o mesmo usuário em um curto espaço de tempo
  • Vários prompts de MFA em rápida sucessão, especialmente fora do comportamento normal de login
  • Tentativas de login de dispositivos, endereços IP ou locais desconhecidos vinculados à mesma conta
  • Um pico na atividade de push em vários usuários, que pode indicar uma campanha mais ampla

Um único push negado não indica um ataque. Várias negações ou timeouts agrupados, especialmente quando combinados com outros sinais de risco, devem desencadear uma investigação.

Detecção de bombardeio imediato no RSA ID Plus

Cada evento de autenticação no RSA ID Plus é registrado com dados detalhados de eventos que podem ser usados para identificar padrões de bombardeio imediato. As equipes de segurança devem monitorar ocorrências repetidas ou anormais de eventos como:

  • 702 - Falha na aprovação da autenticação: A resposta do usuário expirou
  • 703 - Falha na autenticação de aprovação: Aprovação negada pelo usuário
  • 802 - Falha na autenticação biométrica do dispositivo: Timed out
  • 803 - Falha na autenticação biométrica do dispositivo

Quando esses eventos aparecem em sucessão para o mesmo usuário, eles podem indicar uma tentativa de bombardeio MFA ativa. O emparelhamento desses padrões de registro com sinais de dispositivo, localização e confiança aumenta a precisão e ajuda as equipes a reagir antes que ocorra uma aprovação bem-sucedida.

Como se defender contra ataques de bombardeio imediato de MFA

Uma defesa eficaz exige mais do que dizer aos usuários para não aprovarem solicitações desconhecidas. As organizações devem combinar educação do usuário, opções de fatores mais fortes e monitoramento para reduzir as oportunidades de abuso.

A MFA baseada em push é vulnerável porque depende de um usuário tomar a decisão certa no momento. Os fatores que exigem uma ação deliberada do usuário, como senhas de uso único ou autenticadores resistentes a phishing, geralmente são menos suscetíveis a solicitações de aprovação repetidas.

As principais medidas defensivas incluem:

  • Instrua os usuários a recusar solicitações inesperadas, denunciá-las imediatamente e redefinir as credenciais quando apropriado.
  • Prefira fatores mais fortes para aplicativos, usuários e cenários de acesso de maior risco.
  • Monitore se há prompts repetidamente negados ou com tempo limite e alerte sobre padrões suspeitos.
  • Proteja o registro e a recuperação de MFA para que os invasores não possam registrar um novo dispositivo após a obtenção de acesso.
  • Notifique os usuários quando os autenticadores forem adicionados, removidos ou alterados.
  • Investigue sinais de credenciais comprometidas e analise se as políticas de MFA permitem acesso excessivo com verificação limitada.

Quando esses controles trabalham juntos, as organizações limitam sua exposição a ataques de bombardeio imediato. 

Como o RSA ID Plus ajuda na defesa contra o bombardeio de solicitações de MFA

Dentro de RSA ID Plus, Os métodos de autenticação são mapeados para níveis de garantia, e os administradores podem criar políticas que determinam qual nível de garantia é necessário com base no contexto. Quando o risco é elevado, as políticas podem exigir métodos de autenticação mais fortes em vez de permitir a aprovação por push.

O RSA ID Plus também oferece suporte a uma abordagem mais dinâmica por meio de Confiança na identidade. O mecanismo de confiança avalia as tentativas de autenticação em tempo real e retorna uma pontuação de confiança alta ou baixa. Esse sinal pode ser usado em decisões de política para permitir aprovações push quando a confiança é alta e exigir autenticação intensiva quando a confiança é baixa.

Para usuários sinalizados como de alto risco, a lista de usuários de alto risco permite controles mais rígidos. As ferramentas de segurança podem marcar um usuário como de alto risco com base em alertas ou atividades suspeitas, e as políticas podem, então, negar o acesso ou exigir fatores de maior garantia para reduzir a exposição a táticas de fadiga de MFA.

Perguntas frequentes sobre o MFA Prompt Bombing
O que devo fazer se tiver sido vítima de um bombardeio imediato?

Se você aprovou uma solicitação de MFA que não iniciou, trate-a como um possível comprometimento da conta. Comunique o incidente à sua equipe de segurança imediatamente e, em seguida, altere sua senha e analise a atividade de login recente em busca de sessões ou dispositivos suspeitos. Sua equipe de segurança também deve revogar as sessões ativas, confirmar que nenhum autenticador novo foi registrado e exigir uma autenticação de reforço antes de restaurar o acesso.

O que é o bombardeio de prompt do MFA?

O prompt bombing de MFA, também chamado de push bombing ou ataque de fadiga de MFA, ocorre quando um invasor aciona repetidamente solicitações de aprovação de MFA no dispositivo de um usuário. O objetivo é sobrecarregar o usuário até que ele aprove uma solicitação, geralmente após o invasor ter obtido a senha do usuário.

O que você deve fazer se receber um prompt do MFA que não solicitou?

Não a aprove. Recuse a solicitação, se tiver essa opção, e informe à sua equipe de segurança o mais rápido possível. Se receber solicitações repetidas, pare e verifique se alguém está tentando fazer login na sua conta. Como precaução, redefina sua senha e siga as orientações de sua organização para validar a segurança do dispositivo e da conta.

Como as equipes de segurança podem detectar ataques de bombardeio de MFA?

A detecção geralmente é baseada em padrões. Procure por repetidas recusas de push ou tempos limite para o mesmo usuário em um curto período, explosões de solicitações de MFA fora do comportamento normal de login ou tentativas de login de dispositivos ou locais desconhecidos. Esses padrões são sinais mais fortes quando correlacionados com outros indicadores de risco.

Como você interrompe os ataques de bombardeio imediato do MFA?

Reduza a dependência apenas das aprovações dos usuários. Utilize políticas que limitem quando a autenticação por push é permitida, exija autenticação por etapas quando o risco for elevado e monitore as solicitações repetidamente negadas ou com tempo esgotado. Também é importante proteger o registro e a recuperação da MFA para que os invasores não possam registrar um novo dispositivo depois de obter acesso.

A MFA baseada em push ainda é segura?

A MFA por push pode ser eficaz, mas é mais suscetível a táticas baseadas em fadiga porque depende de um usuário tomar a decisão certa rapidamente. As organizações podem reduzir o risco combinando o push com controles baseados em risco, opções de autenticação mais fortes para acesso de alto risco e alertas sobre padrões anormais de solicitação.

As senhas de uso único são mais seguras do que as notificações por push?

As senhas de uso único geralmente são menos suscetíveis ao bombardeio imediato porque o invasor não pode enviar spam para as aprovações. No entanto, os métodos OTP ainda podem ser visados por meio de phishing ou interceptação, dependendo do método de entrega. Muitas organizações usam OTP e autenticadores resistentes a phishing como opções de aumento quando o risco é elevado.

Os invasores podem registrar um novo dispositivo MFA após um bombardeio bem-sucedido?

Sim, essa é uma próxima etapa comum. Depois de obter acesso, os invasores podem tentar registrar um novo autenticador para manter a persistência. As defesas incluem a proteção dos fluxos de trabalho de registro, a exigência de maior garantia para alterações de dispositivos e a notificação dos usuários quando os autenticadores são adicionados ou removidos.

Talvez você também se interesse por...

Solicite uma Demonstração

Solicite uma Demonstração