Leitores como você ajudam a apoiar o MUO. Quando você faz uma compra usando links em nosso site, podemos ganhar uma comissão de afiliado.
Os crescentes incidentes de roubo de credenciais obrigaram as empresas a implementar a autenticação multifator (MFA) para proteger seus funcionários das graves implicações do roubo de senhas. Mas os hackers agora estão realizando ataques de fadiga MFA para contornar essa camada adicional de proteção.
Então, o que é fadiga MFA? Como funcionam esses ataques? E o que você pode fazer para se proteger?
O que é um ataque de fadiga MFA?
Um ataque de fadiga MFA envolve bombardear o proprietário de uma conta incessantemente com notificações push MFA até que eles deslizem ou se desgastem psicologicamente e aprovem a solicitação de login.
Depois que uma solicitação de MFA é aprovada, os hackers podem acessar a conta do usuário e usá-la indevidamente como quiserem.
O principal objetivo desse ataque é enviar uma enxurrada interminável de notificações push MFA para infligir uma sensação de fadiga ao proprietário da conta.
No devido tempo, essa fadiga de MFA faz com que o proprietário da conta aprove a solicitação de entrada acidentalmente ou conscientemente para interromper as notificações por push de MFA.
Como funciona um ataque de fadiga MFA
Com cada vez mais aplicações e serviços adotando a autenticação multifator, a aprovação de notificações por push de MFA pode se tornar uma tarefa de rotina quando os proprietários de contas precisam aprovar solicitações de MFA várias vezes ao dia. Eventualmente, aprovar notificações push de MFA diariamente pode tornar os proprietários de contas desatentos.
Além disso, o bombardeio constante de notificações MFA pode cansar os proprietários de contas, levando-os a aprovar a solicitação de entrada, simplesmente para impedir que as notificações os incomodem.
Como os titulares de contas costumam usar aplicativos autenticadores em seus smartphones, os hackers podem atacá-los 24 horas por dia, 7 dias por semana, para desgastá-los.
O que acontece em um ataque de fadiga MFA?
A primeira etapa dos ataques de fadiga MFA é obter as credenciais de login de um usuário da conta. Existem muitos truques comuns para hackear senhas, incluindo phishing, spidering e ataques de força bruta.
Depois que um invasor obtém as credenciais de login de um usuário, ele o bombardeia com solicitações de autenticação multifator.
Os atacantes esperam que:
- O usuário aprovará a tentativa de login por engano.
- O usuário cederá devido à pressão psicológica exercida por um fluxo interminável de solicitações de MFA.
Os ataques de fadiga MFA podem ser facilmente automatizados. E frequentemente, Engenharia social é combinado com um ataque de fadiga MFA para tornar o ataque bem-sucedido.
Por exemplo, o usuário de destino recebe um e-mail de phishing solicitando que o usuário aprove a solicitação de MFA. Um e-mail de phishing também pode informar ao alvo que ele pode receber uma enxurrada de várias solicitações de MFA nos próximos dias, à medida que um novo sistema de segurança está sendo implementado. O e-mail pode informar ainda que as solicitações de MFA serão interrompidas assim que o proprietário da conta aprovar a tentativa de login.
Como se proteger de um ataque de fadiga MFA
Aqui estão algumas maneiras de se proteger contra ataques de fadiga MFA.
1. Ativar contexto adicional
Habilitar contexto adicional em solicitações de MFA pode oferecer melhor segurança e protegê-lo contra ataques de fadiga de MFA.
O contexto adicional em uma solicitação de MFA ajuda você a entender qual conta acionou a notificação de MFA, a hora do dia quando a tentativa de login foi feita, o dispositivo usado para tentar o login e a localização do dispositivo onde a tentativa de login foi feito.
Se você vir várias solicitações de MFA acionadas de um local ou dispositivo desconhecido quando não estiver tentando fazer login na conta, é um sinal de que um agente de ameaça está tentando enviar spam para você. Você deve imediatamente mude a senha dessa conta e informe seu departamento de TI se ele estiver vinculado a uma rede da empresa.
Muitos aplicativos MFA têm esse recurso ativado por padrão. Se o seu aplicativo autenticador não mostrar contexto adicional, mergulhe nas configurações do seu aplicativo para verificar se ele tem a opção de permitir contexto adicional.
2. Adote autenticação baseada em risco
O uso de um aplicativo autenticador com capacidade de autenticação baseada em risco pode ajudar na defesa contra ataques de fadiga de MFA. Esse aplicativo pode detectar e analisar sinais de ameaças com base em padrões de ataque conhecidos e ajustar os requisitos de segurança de acordo.
Os padrões de ameaças conhecidos incluem, mas não estão limitados ao local incomum da tentativa de login, falhas repetidas de login, assédio por MFA push e muito mais.
Verifique se seu aplicativo MFA oferece autenticação baseada em risco. Em caso afirmativo, habilite-o para ficar protegido contra envio de spam de MFA.
3. Implemente a Autenticação FIDO2
Adotando o FIDO2 forma de autenticação em qualquer empresa pode prevenir ataques de fadiga MFA.
O FIDO2 fornece aos usuários autenticação sem senha e autenticação multifator baseada em biometria. Como suas credenciais de login não saem do seu dispositivo, isso elimina o risco de roubo de credenciais, portanto, os agentes de ameaças não podem executar spam de notificação de MFA.
4. Desativar notificação por push como método de verificação
O recurso de notificações por push do MFA foi projetado para oferecer facilidade de uso. Os proprietários de contas só precisam clicar em "Sim" ou "Permitir" para fazer login em suas contas.
Os ataques de fadiga MFA exploram esse recurso de aplicativos autenticadores. Desativar essas notificações push simples como um método de verificação em seu aplicativo autenticador é uma maneira comprovada de aumentar a segurança do MFA.
Aqui estão alguns métodos que você pode usar para verificar uma solicitação de MFA:
- Correspondência de números.
- Desafio e resposta.
- Senha única baseada em tempo.
A vantagem de usar correspondência de número ou senha única baseada em tempo como um método de verificação é que os usuários não podem aprovar uma solicitação de MFA por acidente; eles precisarão das informações necessárias para concluir o processo de verificação.
Verifique seu aplicativo de autenticação para saber qual recurso de verificação MFA você pode usar em vez de simples notificações por push, solicitando que os usuários cliquem em "Sim" ou "Permitir" para aprovar as tentativas de login.
5. Limite as solicitações de autenticação
Limitar o número de solicitações de login em um aplicativo autenticador pode ajudar a evitar bombardeios imediatos ou fadiga de MFA. Mas nem todos os autenticadores oferecem esse recurso.
Verifique se o seu autenticador MFA permite limitar as solicitações de autenticação; depois disso, a conta será bloqueada.
6. Divulgue a conscientização sobre segurança em torno do MFA
Se você administra uma empresa, a melhor maneira de impedir ataques de fadiga MFA é o treinamento de conscientização de segurança. Certifique-se de que seus funcionários saibam como é um ataque de fadiga MFA e o que fazer quando isso acontecer. Além disso, eles devem ser capazes de detectar um e-mail de phishing, solicitando a aprovação de solicitações de MFA.
O treinamento regular de seus funcionários sobre as melhores práticas de segurança cibernética ajuda muito a proteger as contas.
Não seja empurrado para um erro
A autenticação multifator adiciona uma camada extra de segurança às suas contas. Isso protegeria suas contas, mesmo que os agentes de ameaças tivessem acesso às suas credenciais de login. Mas você deve estar atento a um ataque de fadiga do MFA. Pode ser irritante, mas não desista.
