Identificando lacunas: como os golpes modernos burlam a MFA
Em meu blog anterior, abordei o papel importante que a MFA (autenticação multifator) desempenha na proteção extra do acesso a serviços corporativos e de consumo. Também estabelecemos que, embora a MFA aumente a segurança da autenticação e diminua o risco de apropriação indevida de contas, a MFA pode, e está, sendo burlada livremente.
Neste blog, abordarei as técnicas mais predominantes que estão sendo usadas para burlar os fatores da MFA. Também explicarei como diferentes técnicas de MFA apresentam riscos distintos de comprometimento das credenciais do usuário, o que pode levar à tomada da conta.
Roubo de senhas únicas
Um dos métodos de autenticação de dois fatores mais comuns usa "algo que você possui", como seu dispositivo móvel, dispositivo de autenticação de hardware ou conta de e-mail. Tais dispositivos e contas permitem o uso de uma OTP (senha de uso único) como fator de autenticação secundário, que é gerado por um período limitado e serve como fator adicional no processo de autenticação.
Embora o uso de uma OTP aumente o posicionamento de segurança da conta de um usuário, ela não é à prova de ataques que exploram e burlam esse método de autenticação. Um bom exemplo de técnicas que superam o uso de OTP como outro fator para autenticação pode ser visto em golpes de phishing. Em tais golpes, quando a vítima chega ao Website de phishing, a primeira etapa será roubar suas credenciais ou "o que ela sabe". Assim que isso for feito, o golpe será iniciado nos bastidores sem o conhecimento da vítima. Um processo de autenticação direta contra o Website ou portal de login de destino usando as credenciais roubadas iniciará uma solicitação da OTP que levará ao envio de um token para o dispositivo da vítima.
Figura: Um exemplo de website de phishing que rouba tokens OTP baseados em hardware
A vítima agora está conectada ao website de phishing e não sabe que é um golpe. Eles fornecerão voluntariamente seu token OTP ao Website de phishing, o que dá aos golpistas a condição de assumir a conta.
Um exemplo de golpe de phishing de alto volume que burla a OTP foi visto recentemente pela equipe de pesquisa de ameaças da Akamai. A campanha incluiu oito bancos do Reino Unido que foram alvo de mais de 7.000 domínios de phishing. Nesta campanha, foi envolvida uma operação de administração de back-end, que levava à ativação manual de um token OTP cada vez que essa etapa era exigida pelo fluxo de acesso para o banco alvo.
Troca de SIM
Outra técnica, que não é tão predominante quanto o roubo de OTP, é a troca de SIM de telefone celular, também conhecida como sequestro de SIM. Ele é usado principalmente em golpes direcionados e mais sofisticados. A ideia por trás dessa técnica é executar um esquema que resulta na troca da propriedade do número de telefone associado às credenciais de login do usuário para o SIM do remetente de spam. Uma troca bem-sucedida permitirá que os golpistas interceptem todas as comunicações e autenticações (por exemplo, chamadas de voz ou mensagens SMS), que são entregues ao número de telefone trocado.
Para que um golpe de troca de SIM seja bem-sucedido, os golpistas precisam ser identificados como o proprietário do número de telefone pelo provedor de serviços, a fim de solicitar a alteração da propriedade. Esse tipo de mudança de propriedade provavelmente exigirá pré-conhecimento pelos golpistas dos detalhes pessoais do proprietário do número de telefone alvo, como número de previdência social, data de nascimento ou endereço.
Um bom exemplo de uma recente campanha de ataque de troca de SIM que visava celebridades, músicos e influenciadores de mídia social bem conhecidos foi relatado pela NCA (National Crime Agency) do Reino Unido. A NCA, em colaboração com outras agências, descobriu uma rede de criminosos no Reino Unido que estavam trabalhando juntos para acessar os números de telefone das vítimas e assumir o controle das aplicações ou contas alterando suas senhas.
MFA burlada usando APIs de autenticação legadas
Outra abordagem para burlar a MFA é entrar pela porta traseira quando a porta dianteira estiver fortemente protegida. Em muitos casos, durante o processo de atualização das soluções de autenticação e adoção da autenticação MFA, as soluções de acesso herdadas podem permanecer intactas deliberadamente (ou acidentalmente) para garantir a continuidade dos negócios a aplicações incompatíveis com as soluções MFA.
Os golpistas que desejam evitar os desafios associados ao roubo de tokens OTP encontrarão APIs legadas e abusam delas lançando ataques, como campanhas de abuso de credenciais. Essas campanhas geralmente aproveitam as credenciais que vazaram como resultado de violações de dados, dando aos agentes de ameaça uma oportunidade fácil de coletar contas comprometidas e espalhar essas credenciais pela Internet na caça a contas que estão sendo acessadas com as mesmas credenciais.
Burlar a autenticação de notificações push
Nos últimos anos, a tecnologia de notificação push móvel foi adotada com a promessa de tornar a experiência de autenticação MFA mais fácil para os usuários e mais segura. O uso de mecanismos de notificação push de dispositivo móvel melhora a experiência geral do usuário e, como resultado, aumenta a taxa de adoção das tecnologias de MFA. No entanto, o uso da MFA com notificações push móveis não impede tentativas de phishing que sejam semelhantes ao cenário de roubo de tokens OTP. As vítimas que aprovam notificações de push fraudulentas, criadas usando credenciais roubadas, darão aos golpistas acesso total às suas contas.
Além disso, a implementação da autenticação por notificação push é uma notificação baseada em gestos em dispositivos móveis que requer apenas o mínimo de interação do usuário, sem a necessidade de copiar um código OTP para o Website acessado, e isso cria ainda mais oportunidades de abuso do processo de autenticação do usuário. O melhor exemplo disso são os ataques de preenchimento de credencial , nos quais as credenciais comprometidas fornecem aos agentes de ameaça a capacidade de iniciar um ataque na Internet para caçar contas que estão sendo acessadas usando as mesmas credenciais. Em tais ataques em Websites que incluem notificação push como autenticação secundária, uma autenticação bem-sucedida usando as credenciais roubadas resultará no envio de notificação push para esse usuário. Os usuários que, por engano ou pela força do hábito, aprovem tais notificações entregues em seu telefone celular terão suas credenciais de conta comprometidas, sem até mesmo participar diretamente de um golpe.
Um exemplo de ataque que abusou das limitações de notificação push foi a invasão do Twitter em 2020, quando as contas VPN dos funcionários do Twitter ficaram comprometidas como resultado de ataques de engenharia social. Depois que os hackers tiveram acesso às aplicações internas, eles puderam assumir as contas do Twitter de políticos, celebridades e empreendedores, bem como as contas de várias empresas de criptomoeda.
De acordo com um relatório que descreve o incidente de segurança do Twitter em detalhes, "a MFA é essencial, mas nem todos os métodos de MFA são criados da mesma forma. O Twitter usou a MFA baseada em aplicações, que enviou uma solicitação de autenticação para o smartphone de um funcionário. Essa é uma forma comum de MFA, mas pode ser contornada. Durante a invasão do Twitter, os hackers passaram pela MFA, convencendo os funcionários do Twitter a autenticar a MFA baseada em aplicações durante o login."
Vedação das rachaduras
O uso de soluções MFA aumenta a postura de segurança para usuários e organizações, mas é importante reconhecer que algumas tecnologias MFA não estão protegendo totalmente os usuários contra golpes que comprometem suas contas. Essa é uma notícia ruim para os indivíduos, mas as consequências para as organizações podem ser muito graves. Basta que um funcionário aceite um push ilegítimo de MFA e o invasor tenha acesso total à conta.
Para reduzir o risco de ataques que resultem no comprometimento de contas, recomendo a adoção de uma estratégia de autenticação de segurança multicamada que solidifique o processo de autenticação e proteja as contas contra ataques de invasão.
A estratégia de autenticação precisa considerar recursos defensivos em ambas as extremidades: o cliente e o servidor. No front-end de autenticação do cliente, a estratégia deve adotar a autenticação capaz de garantir que o dispositivo que está sendo conectado seja validado por criptografia forte, eliminando a opção de credenciais roubadas e tokens a serem usados de dispositivos não autenticados.
O protocolo FIDO2 é uma iniciativa que aborda esses desafios e regula uma tecnologia que elimina os riscos de phishing, todas as formas de roubo de senha e ataques de repetição e, ao mesmo tempo, permite facilidade de uso e escalabilidade. A tecnologia por trás do protocolo FIDO2 garante o uso de credenciais criptográficas de login que são exclusivas em todos os Websites, nunca deixam o dispositivo do usuário e não são armazenadas em um servidor. O FIDO2 já é compatível com os principais navegadores e pode ser integrado por simples chamadas de API JavaScript desses navegadores.
No lado do servidor, a tecnologia que protege as aplicações da Web contra acesso anormal, ataques esmagadores de abuso de credenciais e apropriação de contas pode ajudar como uma camada defensiva complementar para a autenticação do usuário e reduzir o risco de comprometimento das contas.
A autenticação é um recurso fundamental na segurança e inovação da tecnologia associada que continuará a evoluir. Ao mesmo tempo, os agentes de ameaça continuarão procurando as rachaduras na parede, encontrando maneiras de burlar os serviços de autenticação e abusar deles. Cabe a nós selar essas rachaduras para manter a segurança impermeável, permanecendo um passo à frente dos hackers, adotando a arquitetura e as soluções tecnológicas que reduzirão as chances de exposição às ameaças emergentes.
Saiba mais sobre as soluções de servidor MFA da Akamai em akamai.com/mfa.
