Segundo o relatório anual de 2022 do Identity Management Institute, cerca de 80% de todas as violações de dados ocorrem como resultado de senhas fracas ou roubadas. Por isso alguns controles e tecnologias ajudam a mitigar os riscos de violação de credenciais, tais como: princípio de least privilege, concessão de acesso sob monitoramento e a utilização de Múltiplo Fator de Autenticação (MFA) — que requer mais de um fator de autenticação, exemplo: algo que você sabe + algo que você tem ou é.
Atualmente o ataque a credenciais é realizado mais comumente através do credencial stuffing attack, no qual são feitas tentativas de logon por brute force utilizando bases de senhas vazadas na internet e não apenas um dicionário de senhas padrão, como antigamente. Por exemplo: o usuário abcd@empresa.com tende a usar a mesma senha em vários portais. Logo, há uma grande probabilidade de uma senha vazada deste usuário ser utilizada em outros sistemas que ele tenha acesso. Por isso, o MFA é uma ótima alternativa para mitigar esse tipo de ataque, visto que após a senha se faz necessário o outro fator de autenticação.
Uns dos formatos de Multi Fator de Autenticação mais comuns é a utilização de usuário e senha em conjunto ao One Time Password (OTP), através de aplicativos como Google ou Microsoft Authenticator.
O ataque MFA Fatigue, também conhecido como MFA push spam, MFA bombing ou prompt bombing, é uma estratégia usada por atacantes para contornar a autenticação multifator dos usuários. Uma vez que o atacante consiga a senha do usuário ele executa um script para solicitar o push do MFA por várias vezes seguidas, fazendo que o celular do usuário receba várias notificações sem parar. Dessa forma o usuário pode aceitar por engano ou até se cansar e aceitar o push para fazer as notificações pararem. Por isso o nome MFA Fatigue ou Fadiga de MFA.
Enquanto outras abordagens de ataque para contornar o MFA dependem da utilização de técnicas como engenharia social, sequestro de sessões ativas ou ataques man-in-the-middle, o MFA Fatigue utiliza uma abordagem de força bruta.
No vídeo abaixo, é possível ver na prática como esse ataque funciona:
Como se proteger contra o MFA Fatigue?
Utilização de um Sistema de logon único ou Single Sign On (SSO), reduzindo a quantidade de logons necessários no dia a dia dos usuários, evitando assim que o MFA seja requisitado várias vezes e o usuário deixe de ter atenção na aprovação.
Definição de limites de tempo entre os prompts nos sistemas ou sistema de SSO.
Limitação da quantidade de tentativas que um usuário tem para verificar sua identidade antes de bloquear novas tentativas. Porém esse controle deve ser usado com cuidado, pois pode ser usado para executar ataques de negação de serviço e interromper todos os logins.
Substituição o uso do MFA através de confirmação por push. Prefira a digitação do código OTP ou o método mais recente de correspondência de número para MFA, no qual ao invés do usuário tocar em “confirmar” e inserir seu PIN, os usuários veem um número na tela de login e devem inserir o mesmo número no aplicativo authenticator.
Number matching in multifactor authentication
5. Monitoramento dos logs do sistemas de SSO juntamente com um SIEM para identificar comportamento anômalo de múltiplas tentativas de MFA com falha em um curto período.
6. Conscientização do usuários, vale sempre lembrar que o usuário é o elo mais fraco na segurança.
Comments