Blog WatchGuard

Phishing MFA: o ataque que compromete as redes de grandes empresas

Há algum tempo, uma das principais modalidades utilizadas pelos criminosos para realizar um ataque cibernético bem-sucedido é o uso do conhecido phishing. Essa tática, que visa induzir os usuários a revelar informações confidenciais, é bem conhecida entre os cibercriminosos por obter acesso não autorizado a contas de usuários e comprometer redes corporativas. Agora, surgiu um novo tipo de phishing para burlar a principal proteção das redes empresariais: o phishing MFA.

O relatório SANS 2022 Managing Human Risk indica que a última linha de defesa contra ataques cibernéticos são simplesmente as pessoas. Uma das principais conclusões do estudo indica que a gestão do risco humano será cada vez mais essencial para a cibersegurança do futuro, sobretudo quando se trata de ataques para entrar em redes corporativas. Com essa tendência, o uso de uma solução MFA (Multi-Factor Authentication) resistente a phishing torna-se cada vez mais crítico.

Em setembro do ano passado, o Uber sofreu um ataque cibernético em seus sistemas depois que um ator malicioso conseguiu comprometer a conta de um contratado da empresa. Após investigar o incidente, a empresa concluiu que o cibercriminoso provavelmente comprou a senha corporativa de seu alvo na Dark Web, depois que seu dispositivo pessoal foi infectado por malware, expondo suas credenciais. Depois disso, o invasor iniciou um ataque de phishing MFA, onde o cansaço da solução alternativa fez com que o usuário acabasse aceitando uma das solicitações, resultando em um login bem-sucedido.

Este é um exemplo da maior vulnerabilidade da cibersegurança: as pessoas. A realidade é que as soluções de segurança geralmente exigem interação humana e as pessoas podem ser vítimas de golpes como engenharia social ou phishing.

Como funciona o phishing MFA?

O phishing MFA é um tipo de ataque no qual um cibercriminoso tenta induzir um usuário a revelar informações confidenciais de seu método de autenticação ou intervém na aprovação fraudulenta da solicitação de login produzida por sua solução MFA.

Para executar com sucesso um ataque de phishing MFA, primeiro é necessário obter as credenciais do alvo. O roubo de credenciais pode ocorrer por vários meios, incluindo uma combinação dos seguintes:

  • Ataques de phishing: os cibercriminosos costumam usar e-mails e sites falsos, que parecem reais, para obter informações confidenciais de vítimas inocentes. Posteriormente, o invasor pode usar essas informações para roubar credenciais de login.
  • Ataques automatizados: Consiste no uso de software malicioso para acessar as credenciais de um usuário sem o seu conhecimento. Uma nova combinação que parece ser bem-sucedida e influenciando a crescente demanda por infostealers na Dark Web é o uso desse malware para obter as credenciais de um usuário, com um subsequente ataque de fadiga MFA para obter acesso às redes corporativas.
  • Ataques de força bruta: Para realizar um ataque de força bruta, os cibercriminosos usam programas automatizados que podem adivinhar sistematicamente senhas, nomes de usuário e outras credenciais que fornecem acesso a diferentes contas. O preenchimento de credenciais é um tipo de ataque de força bruta que se refere ao teste de pares de nome de usuário e senha obtidos da violação de dados de outro site.
  • Engenharia social: Com a engenharia social, os invasores buscam ganhar a confiança do usuário para manipulá-lo e assim obter suas credenciais.

Depois que o invasor obtém as credenciais de seu alvo por meio dessas táticas, ele pode usar metodologias semelhantes para realizar phishing MFA. Nesse sentido, eles podem usar SMS ou phishing por e-mail para tentar induzir seu alvo a revelar o código de autenticação MFA que é enviado por esses meios. Da mesma forma, eles podem usar um ataque de phishing, em que o agente da ameaça se apresenta como alguém confiável, como um funcionário legítimo da empresa, que solicita ao usuário que revele suas informações de login, juntamente com seu código MFA.

Normalmente, esse tipo de ataque é mais eficaz para soluções MFA que usam códigos únicos, mas pode ser mais difícil fazer com que o usuário aprove uma solicitação do aplicativo em seu dispositivo móvel. Por esse motivo, o ataque de phishing MFA que conseguiu comprometer as redes corporativas de grandes empresas como Uber ou Cisco ganhou popularidade: fadiga MFA.

Com essa tática, os cibercriminosos podem enviar várias notificações push (pop-up) para o dispositivo móvel de seu alvo. Então, o usuário, sobrecarregado com o número de solicitações de autenticação MFA que recebe, pode começar a ignorar, desabilitar essa medida de segurança ou até mesmo conceder acesso inadvertidamente, sendo vítima de um ataque de phishing MFA.

As empresas precisam de uma solução MFA resistente a phishing

Dada a escalada desta modalidade de ataque, é necessário ter uma solução que seja capaz de proteger contra a fadiga do MFA. Ter uma ferramenta que permite aos usuários agir ao receber notificações push inesperadas reduz a possibilidade de aprovação acidental de acesso não autorizado. No entanto, adicionar funcionalidade desse tipo a soluções existentes deve levar em consideração o atrito do usuário final. Se esse atrito for alto, o usuário final pode optar por contornar ou ignorar a segurança, deixando as redes corporativas expostas a agentes mal-intencionados.

Por esse motivo, o WatchGuard AuthPoint evoluiu para lidar com novas ameaças avançadas e agora permite que os usuários desativem as notificações por push para reduzir a fadiga do MFA. Assim, de forma simples e sem incorporar fatores de verificação adicionais, caso um usuário negue a primeira solicitação de autenticação, a nova função [VL1 oferece a possibilidade de desativá-las completamente, evitando que o usuário conceda acidentalmente o acesso à rede corporativa. Ao combinar essa funcionalidade com outras, como restrição de política, a segurança aumenta para impedir o acesso não autorizado.

O phishing MFA é um exemplo de como os cibercriminosos continuam a encontrar novas maneiras de atingir seus objetivos. Hoje, a única forma de prevenir esses ataques, do ponto de vista tecnológico, é implementar uma solução MFA resistente a phishing que diminua a probabilidade de ser afetado por erro humano e impeça que cibercriminosos entrem nas redes corporativas.

Se você quiser saber mais sobre o MFA e como essa tecnologia ajuda a proteger as redes corporativas, acesse os seguintes artigos do nosso blog: