password-64047_640.jpg

MFA Fatigue: nova tática é usada em violações de alto perfil

Técnica de engenharia social está se tornando popular entre os operadores de ameaças por não requer infraestrutura de malware ou phishing
Da Redação
20/09/2022

Hackers estão usando com mais frequência ataques de engenharia social para obter acesso a credenciais corporativas e violar grandes redes. Um componente desses ataques que está se tornando mais popular com o aumento da autenticação multifator é a técnica chamada MFA Fatigue. Ao violar redes corporativas, os hackers geralmente usam credenciais de login de funcionários roubadas para acessar VPNs e a rede interna.

A realidade é que obter credenciais corporativas está longe de ser difícil para operadores de ameaças, que podem usar vários métodos, incluindo ataques de phishing, malware, credenciais vazadas de violações de dados ou comprá-las em mercados da dark web.

Para combater isso, as empresas têm adotado cada vez mais a autenticação multifator para impedir que os usuários façam login em uma rede sem primeiro ter de passar por uma forma adicional de verificação. Essas informações adicionais podem ser uma senha de uso único, um prompt que verifica a tentativa de login ou o uso de chaves de segurança de hardware.

Embora os operadores de ameaças possam usar vários métodos para contornar a autenticação multifator, a maioria gira em torno do roubo de cookies por meio de malware ou estruturas de ataque de phishing man-in-the-middle, como o evilginx2. Man-in-the-middle é uma forma de ciberataque em que o cibercriminoso age como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo.

No entanto, uma técnica de engenharia social chamada MFA Fatigue, também conhecida como MFA push spam, está se tornando popular entre os operadores de ameaças, pois não requer infraestrutura de malware ou phishing e provou ser bem-sucedida em ataques.

Um ataque de MFA Fatigue ocorre quando é executado um script que tenta fazer login com credenciais roubadas repetidamente, fazendo com que o que parece ser um fluxo interminável de solicitações de envio de MFA seja enviado para o dispositivo móvel do proprietário da conta. O objetivo é manter isso, dia e noite, para quebrar a segurança do alvo e infligir uma sensação de “fadiga” em relação a esses prompts de MFA.

Uma demonstração de ataque de MFA Fatigue, ou MFA push spam, pode ser vista neste vídeo do YouTube criado pela empresa de segurança cibernética Reformed IT.

Ataque de MFA Fatigue passo a passo

Veja isso
Ransomware baseado em Go permite ataques personalizados
Usuários do Microsoft 365 Business são alvo de phishing

Em muitos casos, os operadores de ameaças enviam notificações de MFA repetidas e, em seguida, entram em contato com o alvo por e-mail, plataformas de mensagens ou por telefone, fingindo ser do suporte de TI para convencer o usuário a aceitar o prompt de MFA. Em última análise, os alvos ficam tão sobrecarregados que acidentalmente clicam no botão ‘Aprovar’ ou simplesmente aceitam a solicitação de MFA para interromper o dilúvio de notificações que estavam recebendo em seus telefones.

Esse tipo de técnica de engenharia social provou ser muito bem-sucedida pelos agentes de ameaças Lapsus$ e Yanluowang ao violar grandes e conhecidas companhias, como Microsoft, Cisco e agora Uber.

Portanto, se um funcionário for alvo de um ataque de MFA Fatigue e receber uma enxurrada de notificações push de MFA, não deve entrar em pânico e não aprovar a solicitação de MFA, além de não falar com pessoas desconhecidas que afirmam ser da organização. Em vez disso, ele deve entrar em contato com o departamento de TI ou seus supervisores e explicar que sua conta pode ter sido comprometida e está sob ataque.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)