Segundo o Relatório de tendências de login seguro da Okta, a adoção da autenticação multifator (MFA) quase dobrou desde 2020 e tanto os defensores dos consumidores como as agências governamentais recomendam a implementação desta tecnologia. Porém, como frequentemente ocorre, quando algo se torna popular, também vira um alvo. E, infelizmente, com o MFA não é diferente.
Por Renée Burton
Alguns anos atrás, campanhas de segurança encorajaram os usuários a migrar de senhas fáceis para senhas mais fortes, contendo uma variedade maior de caracteres. Ao fazê-lo, indivíduos e empresas ganharam uma sensação de confiança ao adotar esta defesa contra criminosos que se escondem na internet.
No entanto, estes hackers são persistentes e inteligentes. À medida que os usuários cansaram de lembrar suas senhas, agora complexas, as pessoas passaram a armazená-las em “carteiras”, tornando-se alvo destes invasores. Essencialmente, o mesmo aconteceu com a autenticação multifator, também conhecida como autenticação de dois fatores (2FA), que insere uma segurança adicional às contas e sistemas online, exigindo que o usuário verifique sua solicitação de login.
Como os ataques ocorrem
À medida que os usuários passaram a depender e confiar na MFA, os hackers voltaram sua atenção a este método. De acordo com a Infoblox, líder em cibersegurança com serviços de rede DNS, os ataques de domínios de autenticação multifator falsos aumentaram nos últimos 15 meses, devido a kits de ferramentas baratos disponíveis no mercado negro, com o objetivo de implementar rapidamente um ataque em grande escala. Assim, um ataque comum de MFA funciona da seguinte forma:
O criminoso obtém um conjunto de números de telefone de seus alvos e registra um nome de domínio semelhante a MFA, 2FA, Okta, Duo ou uma de várias outras palavras-chave de verificação conhecidas.
Em seguida, utiliza um kit de ferramentas para enviar mensagens de texto SMS com uma mensagem urgente solicitando que o usuário verifique suas credenciais em uma conta. No momento em que o usuário clica no link, o invasor interage ativamente e intercepta os códigos de autenticação multifator. Dessa forma, o farsante retransmite os códigos de autenticação o usuário para o sistema real e obtém acesso à conta.
A partir disso, o hacker pode realizar outros ataques, a fim de obter mais acesso e aumentar seus privilégios, ou pode simplesmente roubar informações do usuário e seguir em frente. Esses ataques, conhecidos como phishing, são usadostanto contra consumidores quanto contra empresas. E, embora possa não parecer muito, basta um phishing bem-sucedido para comprometer uma rede.
Da mesma forma, a Infoblox relata que 100% dos domínios semelhantes ao MFA são usados pelo criminoso dentro de 24 horas após o registro. Isto contrasta surpreendentemente com a maior parte dos domínios de phishing, no qual apenas 55% foram usados no mesmo dia em que foram registrados.
Há muitos anos, os domínios de phishing eram registrados, usados imediatamente e depois abandonados quase com a mesma rapidez, em um ciclo rápido.
No entanto, a indústria de cibersegurança foi rápida em desenvolver uma resposta a estas táticas, incluindo o bloqueio de domínios recentemente registados e o desenvolvimento de sistemas de digitalização que procuravam conteúdos de phishing ativos com base em dados de registro.
Os phishers responderam atrasando o uso de seus domínios, uma prática chamada envelhecimento estratégico. De acordo com dados da Infoblox, os últimos 5 anos mostraram consistentemente uma tendência de phishing em direção ao envelhecimento estratégico, com mais de 30% dos domínios sendo observados pela primeira vez em campanhas de três dias após o registro.
Há também o spear phishing, que, ao contrário dos phishings comuns, são ataques altamente focados. Normalmente, cria-se um nome de domínio que combina termos que fazem referência à autenticação multifatorial, como 2FA, Okta, MFA ou verificação, com o nome da empresa. Normalmente, os sistemas vão detectar esse tipo de domínio. No entanto, ao agir rapidamente, o hacker aproveita o atraso nos sistemas de segurança.
Embora as semelhanças genéricas com MFA sejam comuns, há um grande número de domínios maliciosos que incluem uma empresa semelhante e um termo associado à autenticação multifator. Frequentemente, o nome da empresa será abreviado ou digitado incorretamente. As instituições financeiras e os fornecedores de serviços de internet são alvos comuns desta abordagem.
Exemplos de tais domínios de phishing observados em setembro incluem: samtanfe-verify[.]click, 2fa-portal-nsandi[.]com, scotiasecureinfo-verify[.]services e verify-wick[.]xyz. Esses domínios são semelhantes a entidades bancárias e bots discord. Os agentes de ameaças, por vezes, se envolverão em uma variedade de métodos para explorar os usuários, incluindo domínios de phishing semelhantes, bem como o spear phishing.
Como se proteger?
Embora alguns ataques ocorram por meio de SMS, os ataques de autenticação multifator também são realizados de outras maneiras, como e-mails de phishing, sites comprometidos e fraudulentos e malvertising. No início deste ano, a Cibersegurança e Segurança de Infraestrutura (CISA) dos EUA divulgou um comunicado sobre uma campanha que envolve o uso malicioso de software legítimo de monitoramento e gerenciamento remoto (RMM). Nesses incidentes, o invasor solicita que o usuário digite um domínio semelhante por telefone em um navegador da web.
O grande número de domínios semelhantes demonstra a carga que recai sobre os usuários em proteger tanto sua casa quanto seu local de trabalho. Ainda que alguns especialistas em segurança argumentem que ataques bem-sucedidos destacam a necessidade de maior vigilância por parte das pessoas, envergonhá-los pela falha dos sistemas de segurança não é a resposta.
Dessa forma, os usuários precisam se manter céticos nessas situações, uma vez que estes criminosos estão sempre inovando e levantando novas formas de conseguir suas informações pessoais. É crucial que as pessoas se certifiquem e investiguem com quem realmente estão se comunicando, antes de passar qualquer informação pessoal. Embora esses ataques sejam raros, quando bem-sucedidos podem ser profundamente prejudiciais.
Sobre Infoblox
A Infoblox une rede e segurança para oferecer desempenho e proteção incomparáveis para um mundo que nunca para. Ao fornecer visibilidade e controle em tempo real sobre quem e o que se conecta à rede, usamos DNS inteligente e contexto de usuário para impedir ameaças que outras soluções não perceberão, permitindo que as organizações construam ambientes mais seguros e resilientes. Apoiamos continuamente mais de 13.000 clientes – incluindo 92 empresas da Fortune 100, bem como inovadores emergentes – construindo as equipes mais brilhantes e diversificadas e projetando cuidadosamente soluções inteligentes de rede e segurança para um mundo cada vez mais distribuído.
Netbr abre espaço para apresentações de IAM no Identity-First Festival
Qual é o futuro da autenticação digital? Por Regina Tupinambá
AUTENTICAÇÃO
Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.