A implementação da autenticação multifator (MFA) é uma excelente estratégia para fortalecer a segurança de suas contas online, mas ataques de phishing sofisticados podem ignorar a MFA. Portanto, considere a adoção de um método de MFA forte e resistente a phishing para combater as campanhas de phishing modernas.
Como o MFA tradicional é suscetível a ataques de phishing? O que é uma solução MFA resistente a phishing e como ela pode impedir ataques de phishing?
O que é autenticação multifator?
Como o termo sugere, a autenticação multifator exige que você apresente dois ou mais fatores de verificação para acessar suas contas.
Um fator em um processo de autenticação é um meio de verificar sua identidade quando você está tentando fazer login.
Os fatores mais comuns são:
- Algo que você sabe: uma senha ou um PIN que você lembra
- Algo que você tem: uma chave USB segura ou um smartphone que você tenha
- Algo que você é: seu reconhecimento facial ou impressão digital
A autenticação multifator adiciona camadas extras de segurança às suas contas. É como adicionar um segundo ou terceiro cadeado ao seu armário.
Em um processo típico de autenticação multifator, você inserirá sua senha ou PIN primeiro. Então, você pode receber o segundo fator em seu smartphone. Esse segundo fator pode ser um SMS ou uma notificação em um aplicativo autenticador. Dependendo de suas configurações de MFA, pode ser necessário verificar sua identidade por meio de biometria.
Há muitas razões para usar a autenticação multifator, mas pode resistir completamente ao phishing?
Infelizmente, a resposta é "não".
Ameaças cibernéticas à autenticação multifator
Embora os métodos MFA sejam mais seguros do que os métodos de autenticação de fator único, os agentes de ameaças podem explorá-los usando várias técnicas.
Aqui estão algumas maneiras pelas quais os hackers podem contornar o MFA.
Ataques de Força Bruta
Se os hackers tiverem suas credenciais de login e você tiver definido um PIN de 4 dígitos para ser usado como segundo fator, eles podem realizar ataques de força bruta para adivinhar o pino de segurança, a fim de contornar o multifator autenticação.
Hackear SIM
Atualmente, os agentes de ameaças usam técnicas como troca de SIM, clonagem de SIM e roubo de SIM para hackear seu cartão SIM. E uma vez que tenham controle sobre o seu SIM, eles podem facilmente interceptar o segundo fator baseado em sms, comprometendo seu mecanismo MFA.
Ataques de Fadiga MFA
em um ataque de fadiga MFA, um hacker bombardeia você com uma enxurrada de notificações push até que você desista. Depois de aprovar a solicitação de login, o hacker pode acessar sua conta.
Adversário nos ataques do meio
Os hackers podem usar estruturas AiTM como Evilginx para interceptar as credenciais de login e o token do segundo fator. Em seguida, eles podem fazer login na sua conta e fazer qualquer coisa desagradável que desejarem.
Ataques do tipo passe-o-cookie
Depois de concluir o processo de autenticação multifator, um cookie do navegador é criado e mantido para sua sessão. Os hackers podem extrair esse cookie e usá-lo para iniciar uma sessão em outro navegador em um sistema diferente.
Phishing
Phishing, um dos mais táticas comuns de engenharia social, geralmente é empregado para acessar o segundo fator quando o agente da ameaça já possui seu nome de usuário e senha.
Por exemplo, você usa um fornecedor de software como serviço (SaaS) e suas credenciais de login estão comprometidas. Um hacker ligará (ou enviará um e-mail) para você se passando por seu fornecedor de SaaS para solicitar o segundo fator para verificação. Depois de compartilhar o código de verificação, o hacker pode acessar sua conta. E eles podem roubar ou criptografar dados que afetam você e seu fornecedor.
Hoje em dia, os hackers empregam técnicas avançadas de phishing. Portanto, fique atento aos ataques de phishing.
O que é MFA resistente a phishing?
A MFA resistente a phishing não é suscetível a todos os tipos de engenharia social, incluindo ataques de phishing, ataques de preenchimento de credenciais, ataques Man-in-the-Middle e muito mais.
Como os humanos estão no centro dos ataques de engenharia social, o MFA resistente a phishing remove o elemento humano do processo de autenticação.
Para ser considerado um mecanismo MFA resistente a phishing, o autenticador deve estar vinculado criptograficamente ao domínio. E deve reconhecer um domínio falso criado por um hacker.
Veja a seguir como funciona a tecnologia MFA resistente a phishing.
Criar ligação forte
Além de registrar seu autenticador, você realizará um registro criptográfico, incluindo prova de identidade, para criar uma ligação forte entre seu autenticador e identidade provedor (IDP). Isso permitirá que seu autenticador identifique sites falsos.
Faça uso da criptografia assimétrica
Uma ligação sólida de duas partes baseada em criptografia assimétrica (criptografia de chave pública) elimina a necessidade de segredos compartilhados como senhas.
Para iniciar as sessões, ambas as chaves (chaves públicas e chaves privadas) serão necessárias. Os hackers não podem se autenticar para fazer login, pois as chaves privadas serão armazenadas com segurança nas chaves de segurança de hardware.
Responder apenas a solicitações de autenticação válidas
O MFA resistente a phishing responde apenas a solicitações válidas. Todas as tentativas de se passar por solicitações legítimas serão frustradas.
Verificar Intenção
A autenticação MFA resistente a phishing deve validar a intenção do usuário solicitando que o usuário execute uma ação que indique o envolvimento ativo do usuário para autenticar a solicitação de entrada.
Por que você deve implementar MFA resistente a phishing
A adoção de MFA resistente a phishing oferece vários benefícios. Elimina o elemento humano da equação. Como o sistema pode identificar automaticamente um site falso ou uma solicitação de autenticação não autorizada, ele pode impedir todos os tipos de ataques de phishing destinados a induzir os usuários a fornecer credenciais de login. Consequentemente, MFA resistente a phishing pode evitar violações de dados em sua empresa.
Além disso, um bom MFA resistente a phishing, como o método de autenticação FIDO2 mais recente, melhora a experiência do usuário. Isso porque você pode usar biometria ou chaves de segurança fáceis de implementar para acessar suas contas.
Por último, mas não menos importante, o MFA resistente a phishing aumenta a segurança de suas contas e dispositivos, melhorando assim pasto de segurança cibernética na sua empresa.
O Escritório de Administração e Orçamento (OMB) dos EUA emitiu o Documento da Estratégia Federal Zero Trust, que exige que as agências federais usem apenas MFA resistente a phishing até o final de 2024.
Portanto, você pode entender que o MFA resistente a phishing é essencial para a segurança cibernética.
Como implementar MFA resistente a phishing
De acordo com Relatório de Estado de Identidade Segura preparados pela equipe Auth0 da Okta, os ataques de bypass MFA estão em ascensão.
Como o phishing é o principal vetor de ataque em ataques baseados em identidade, a implementação da autenticação multifator resistente a phishing pode ajudá-lo a proteger suas contas.
A autenticação FIDO2/WebAuthn é um método de autenticação resistente a phishing amplamente usado. Ele permite que você use dispositivos comuns para autenticação em ambientes móveis e de desktop.
A autenticação FIDO2 oferece forte segurança por meio de credenciais de login criptográficas exclusivas para cada site. E as credenciais de login nunca saem do seu dispositivo.
Além do mais, você pode usar recursos integrados do seu dispositivo, como um leitor de impressão digital para desbloquear credenciais de login criptográficas.
Você pode confira os produtos FIDO2 para selecionar o produto certo para implementar MFA resistente a phishing.
Outra maneira de implementar MFA resistente a phishing é usar soluções baseadas em infraestrutura de chave pública (PKI). Cartões inteligentes PIV, cartões de crédito e passaportes eletrônicos usam essa tecnologia baseada em PKI.
MFA resistente a phishing é o futuro
Os ataques de phishing estão aumentando e a implementação apenas de métodos tradicionais de autenticação multifator não oferece proteção contra campanhas de phishing sofisticadas. Portanto, implemente MFA resistente a phishing para impedir que hackers assumam suas contas.