Como evitar bombardeamentos rápidos de MFA
O bombardeamento de autenticação multifactorial é a maior prova de que nem todas as soluções MFA são seguras. Esta técnica de engenharia social tem vindo a gerar muito interesse nas últimas semanas, uma vez que tem sido utilizada com sucesso por grupos de cibercriminosos, como no caso dos ataques de Lapsus$.
A técnica consiste em hackers que se fazem passar por uma empresa que utiliza software com um sistema MFA para que os utilizadores se possam identificar e aceder aos seus serviços e soluções. O alvo é bombardeado com notificações de pedidos de identificação que fingem fazer parte do procedimento do programa MFA. Se o utilizador for induzido a acreditar que os pedidos vêm da empresa e clicar na notificação, os hackers ganham acesso aos sistemas da organização.
Este tipo de ciberataque pode ser realizado de várias maneiras diferentes: podem enviar uma série de pedidos online para que o utilizador aceite o pedido de identificação, acreditando que está a manter o acesso a estes serviços. Em outras ocasiões, os hackers enviam pedidos menos frequentes (um ou dois por dia) para levantar menos suspeitas. Até têm havido casos de chamadas telefónicas para um utilizador específico, em que fingem ser um funcionário da empresa para conseguir que o utilizador confie neles e lhes diga que vai enviar um pedido de MFA. A questão é: como é que podemos evitar estes atentados bombistas?
- Como costume em todas as técnicas de engenharia social, a desconfiança do utilizador e a formação em cibersegurança são fundamentais e constituem a primeira linha de defesa. A este respeito, os colaboradores nunca devem aceitar uma notificação push para se identificarem para aceder aos programas da empresa se não solicitaram o acesso nesse momento ou se este for proveniente de outro local. Assim, quando em dúvida, é melhor contactar e informar os responsáveis de TI e, no entretanto, desativar as notificações.
- No que diz respeito às notificações push, a técnica de bombardeamento é frequentemente utilizada e escalada em soluções MFA onde não há uma primeira validação com uma palavra-passe ou é utilizada como autenticação sem palavra-passe única. Mas isto não significa que uma organização não possa fornecer um sistema de notificações push aos seus empregados como procedimento de MFA. Deve é fornecer formas de controlar os bombardeamentos de MFA ou, pelo menos, monitorizar a sua ocorrência e bloqueá-la.
Contudo, é aconselhável implementar uma solução avançada de proteção e gestão da identidade, que possa controlar a todo o momento quais os funcionários que escolheram as notificações push e notificá-los se bloquearem alguma delas, bem como implementar mecanismos adicionais para ajudar os colaboradores se receberem uma enxurrada de notificações, nomeadamente a possibilidade de as bloquear durante algum tempo. O acesso a esta solução de gestão de identidade também teria de ser protegido por uma palavra-passe, para que um hacker não a possa utilizar para bombardear o alvo, porque o atacante precisa de saber primeiro a senha para esta solução.
Isto dá às organizações um controlo completo sobre identidades, bens, contas e informação sem ter de se preocupar em ser imitado usando bombardeamentos ou outras técnicas para entrar nos seus sistemas, enganando os utilizadores através de procedimentos de MFA.