O bombardeio imediato de MFA é um método de ataque usado para contornar a segurança da autenticação multifator (MFA). Essa técnica funciona inundando os usuários com prompts de MFA para acessar um sistema, com o objetivo de encontrar um prompt que o usuário aceite.
O bombardeio imediato do MFA é uma ameaça cibernética emergente que as organizações devem compreender e contra a qual se defender. Como Autenticação multifatorial tornou-se mais amplamente adotado para fortalecer a segurança das contas, os agentes de ameaças desenvolveram técnicas para direcionar sistematicamente os usuários com solicitações de autenticação na tentativa de obter acesso. Por meio de repetidas solicitações de login, os hackers tentam confundir ou frustrar os usuários, fazendo-os inserir suas credenciais ou aprovação em um site ou aplicativo malicioso.
Essa técnica, conhecida como bombardeio imediato de MFA, permite que invasores contornem a autenticação multifator e obtenham acesso a contas e dados confidenciais. Os profissionais de segurança cibernética e os líderes empresariais precisam de consciencialização e educação sobre esta ameaça para proteger as suas organizações. Ao compreender como funciona o bombardeamento imediato do MFA e as estratégias para mitigar o risco, as empresas podem evitar tornar-se vítimas deste vector de ataque cada vez mais comum.
A autenticação multifator (MFA) é um método de autenticação que exige que o usuário forneça dois ou mais fatores de verificação para obter acesso a um recurso, como um aplicativo, conta online ou VPN. A MFA adiciona uma camada extra de segurança aos logins e transações dos usuários.
Os métodos de autenticação tradicionais dependem de um único fator — normalmente uma senha. No entanto, as senhas podem ser roubadas, adivinhadas ou hackeadas. Através da MFA, o acesso não autorizado pode ser evitado exigindo mais do que apenas uma senha. Isto pode ser na forma de uma chave de segurança, um código enviado para um dispositivo móvel ou uma leitura biométrica.
O MFA protege contra ataques de phishing, engenharia social e quebra de senhas. Mesmo que um hacker obtivesse a senha de um usuário, ele ainda precisaria do segundo fator de autenticação para obter acesso. Esta abordagem multifacetada reduz significativamente o risco de comprometimento da conta.
Existem vários tipos de opções de MFA:
A MFA deve ser implementada para qualquer sistema ou aplicação que contenha dados ou fundos sensíveis para ajudar a reduzir riscos como apropriação de contas e fraude. Quando configurado corretamente, o MFA é um controle eficaz que aumenta a segurança do login e protege contas de usuário.
O bombardeio imediato do MFA começa com um invasor obtendo acesso ao nome de usuário e senha de um usuário. O invasor então usa a automação para gerar e enviar um grande volume de tentativas de login para a conta do usuário. Cada tentativa de login aciona um prompt de MFA, como uma mensagem de texto com um código único ou uma notificação de aplicativo de autenticação.
O invasor continua gerando tentativas de login em ritmo acelerado até que o usuário aceite um prompt de MFA, seja intencionalmente ou acidentalmente. Aceitar um prompt fornece ao invasor o código de autenticação necessário para acessar a conta do usuário. Neste ponto, o invasor contornou a MFA e obteve acesso total.
O bombardeio imediato do MFA ataca a psicologia do usuário e a capacidade limitada de atenção humana. Quando bombardeado com uma enxurrada de prompts em rápida sucessão, é mais provável que um usuário toque ou insira um código sem pensar para fazer com que os prompts parem. Mesmo que o usuário perceba o erro imediatamente, o invasor já tem o acesso necessário.
Para se defenderem contra o bombardeamento imediato de MFA, as organizações devem monitorizar volumes invulgarmente elevados de pedidos de MFA para uma única conta de utilizador. O bombardeio imediato também destaca a necessidade de métodos de autenticação mais fortes e mais difíceis de contornar, como chaves de segurança FIDO2, autenticação biométrica e MFA baseada em risco. Ao implementar políticas adaptativas de MFA e monitoramento robusto de autenticação, as empresas podem reduzir os riscos de bombardeio imediato e outras técnicas de desvio de MFA.
Os ataques de bombardeio imediato de MFA têm como alvo usuários que têm acesso a sistemas críticos, tentando sobrecarregá-los com solicitações de autenticação. Esses ataques de força bruta visam negar acesso a usuários legítimos, bloqueando-os de contas e sistemas.
Os cibercriminosos frequentemente empregam botnets, redes de computadores infectados, para realizar ataques bombistas imediatos de MFA. Os bots são programados para tentar repetidamente a autenticação em sistemas-alvo usando listas de credenciais roubadas ou adivinhadas. Devido ao grande volume de tentativas de login, os sistemas MFA alvo bloqueiam contas para evitar acesso não autorizado. No entanto, isso também impede que usuários válidos acessem suas contas.
Outra tática comum usada no bombardeio imediato do MFA é recheio de credenciais. Os hackers obtêm listas de nomes de usuário e senhas de violações e vazamentos de dados anteriores. Eles então colocam essas credenciais na página de login do sistema de destino o mais rápido possível. As repetidas tentativas de login malsucedidas acionam os mecanismos de bloqueio de conta, resultando em negação de serviço.
Existem vários métodos que as organizações podem empregar para mitigar a ameaça de bombardeamento imediato do MFA:
O bombardeio imediato da MFA ameaça as organizações ao negar aos usuários o acesso às suas contas e sistemas. No entanto, com vigilância e salvaguardas adequadas, os riscos representados por estes tipos de ataques de força bruta podem ser significativamente mitigados. O monitoramento contínuo e a adaptação às ameaças em evolução são fundamentais.
Para detectar o bombardeio imediato do MFA, as organizações devem implementar as seguintes medidas de segurança:
O monitoramento de um volume incomumente alto de tentativas de login malsucedidas, especialmente em várias contas ou fontes, pode indicar atividade de bombardeio imediato de MFA. É provável que os cibercriminosos tentem diferentes senhas e nomes de usuário na tentativa de adivinhar as credenciais corretas. As organizações devem definir limites para detectar essas anomalias e receber alertas quando elas ocorrerem.
A revisão dos prompts de MFA e das respostas do usuário pode revelar sinais de bombardeio de prompt de MFA, como:
A análise dos logs da rede privada virtual (VPN) e da atividade da rede também pode revelar o bombardeio imediato do MFA. As coisas a procurar incluem:
As organizações devem implementar controles adicionais de segurança de identidade para reduzir o risco de bombardeio imediato da MFA, como:
Ao manter a vigilância e implementar uma forte estratégia de segurança de identidade, as organizações podem detectar e mitigar a ameaça de bombardeamentos imediatos da MFA. É essencial implementar uma estratégia de segurança proativa entre pessoas, processos e tecnologia para combater ataques bombistas imediatos do MFA.
Para evitar o bombardeio imediato de MFA, as organizações devem implementar a autenticação multifator (MFA) em todos os recursos e contas de usuário voltados para a Internet. A MFA adiciona uma camada adicional de segurança que requer não apenas uma senha, mas também outro método de verificação, como um código de segurança enviado por mensagem de texto ou um aplicativo de autenticação. Com a MFA habilitada, os invasores que usam credenciais roubadas não conseguirão obter acesso, a menos que também tenham acesso ao telefone ou dispositivo de autenticação do usuário.
Algumas opções de MFA são mais susceptíveis a bombardeamentos imediatos do que outras. Mensagens de texto SMS e chamadas de voz podem ser comprometidas, permitindo que invasores interceptem códigos de autenticação. Tokens de hardware e aplicativos de autenticação fornecem um nível mais alto de segurança. Chaves de segurança, como YubiKeys, oferecem a proteção mais forte e devem ser usadas por administradores e contas privilegiadas quando possível.
As equipes de segurança devem monitorar as contas dos usuários e as solicitações de autenticação em busca de sinais de tentativas imediatas de bombardeio. Coisas como um número incomumente alto de solicitações de MFA em um curto espaço de tempo, solicitações de MFA originadas de endereços IP suspeitos ou relatórios de SMS ou mensagens de phishing de voz que afirmam ser códigos de MFA podem indicar bombardeio imediato. Os ataques detectados devem desencadear uma redefinição imediata de senha e uma revisão da atividade da conta do usuário.
Educar os usuários sobre o MFA e o bombardeio imediato ajuda a reduzir o risco. O treinamento deve abranger:
Com os controles corretos e a educação dos usuários implementadas, as organizações podem reduzir a ameaça de bombardeio imediato do MFA e fortalecer a higiene geral da segurança de seus usuários. No entanto, como acontece com qualquer defesa de cibersegurança, são necessárias vigilância contínua e revisões regulares de novas ameaças e técnicas de mitigação.
Para evitar ataques de bombardeio imediatos, as organizações devem implementar uma solução MFA que use senhas únicas (OTPs) geradas dinamicamente em vez de mensagens de texto SMS. Essas soluções geram uma nova OTP cada vez que um usuário faz login, para que os invasores não possam reutilizar códigos para obter acesso não autorizado.
Tokens de hardware, como YubiKeys, geram OTPs que mudam a cada login. Como os códigos são gerados no dispositivo, os invasores não podem interceptá-los via SMS ou chamada de voz. Os tokens de hardware oferecem um alto nível de segurança, mas podem exigir um investimento inicial para comprá-los. Eles também exigem que os usuários carreguem um dispositivo físico adicional, o que alguns podem achar inconveniente.
Aplicativos autenticadores como Google Authenticator, Azure MFA, Silverforte o Duo geram OTPs no telefone do usuário sem depender de SMS ou chamadas de voz. Os OTPs mudam com frequência e os aplicativos não transmitem os códigos pela rede, por isso são muito difíceis de serem interceptados ou reutilizados por invasores. Os aplicativos autenticadores são uma solução MFA segura, conveniente e de baixo custo para organizações com orçamento limitado. No entanto, eles ainda exigem que os usuários tenham um dispositivo capaz de executar o aplicativo móvel.
A autenticação biométrica, como leitura de impressão digital, rosto ou íris, oferece uma solução MFA que é muito resistente a bombardeios imediatos e outros ataques cibernéticos. A biometria é difícil de ser replicada por usuários não autorizados, pois se baseia nas características físicas do usuário. Eles também são muito convenientes para os usuários, pois não requerem nenhum dispositivo ou software adicional. No entanto, os sistemas biométricos normalmente exigem um investimento inicial considerável para adquirir o hardware e software de digitalização necessários. Eles também podem levantar questões de privacidade para alguns.
Soluções de AMF que geram OTPs no dispositivo, como tokens de hardware, aplicativos autenticadores e biometria, oferecem a proteção mais forte contra bombardeios imediatos e outros ataques automatizados. As organizações devem avaliar essas opções com base nas suas necessidades de segurança, orçamento e preferências do usuário. Com a solução de MFA adequada implementada, o bombardeamento imediato pode ser eficazmente mitigado.
Se a sua organização foi vítima de um ataque a bomba imediato do MFA, é importante tomar as seguintes ações para mitigar riscos e evitar maiores danos:
Trabalhe com sua equipe de segurança para determinar quantas contas de usuário foram visadas e comprometidas. Verifique se há logins não autorizados e revise os registros de atividades da conta para identificar as contas que foram acessadas. Determine quais dados ou recursos os invasores também podem ter tido acesso. Esta investigação ajudará a determinar a gravidade do incidente e a resposta apropriada.
Para qualquer conta comprometida, redefina imediatamente as senhas e as solicitações de MFA. Gere senhas fortes e exclusivas para cada conta e habilite a MFA usando um aplicativo autenticador em vez de mensagens de texto SMS. Certifique-se de que os usuários habilitem a MFA em todas as contas, não apenas naquela que foi comprometida. Os invasores geralmente usam o acesso a uma conta para obter acesso a outras.
Revise suas políticas e procedimentos de segurança atribuídos a cada usuário para identificar e corrigir quaisquer falhas de segurança que contribuíram para o ataque. Por exemplo, pode ser necessário impor políticas de senha mais fortes, limitar as tentativas de login da conta, restringir o acesso à conta com base na localização ou endereço IP ou aumentar o monitoramento dos logins da conta. A autenticação multifator deve ser exigida para todas as contas, especialmente contas de administrador.
Monitore de perto todas as contas durante os próximos meses em busca de quaisquer sinais de acesso não autorizado ou tentativas de controle de conta. Os invasores podem continuar a atacar contas mesmo após o comprometimento inicial para manter o acesso. Verifique continuamente o login da conta e os registros de atividades para identificar qualquer comportamento anômalo o mais cedo possível.
Para ataques em larga escala, entre em contato com as autoridades locais e denuncie o crime cibernético. Forneça todos os detalhes sobre o ataque que possam ajudar em uma investigação. As autoridades também podem ter recomendações adicionais sobre como proteger sua rede e contas para evitar ataques futuros.
É importante tomar medidas imediatas e completas no caso de um ataque de bomba imediato do MFA, a fim de limitar os danos, proteger os seus sistemas e minimizar as chances de comprometimento adicional. O monitoramento e a vigilância constante são necessários para proteger contra ataques subsequentes de atores mal-intencionados após um ataque. Com resposta rápida e colaboração, as organizações podem superar os impactos prejudiciais do bombardeamento imediato do MFA.
