Segundo o relatório de tendências de login seguro da Okta, a adoção da autenticação multifator (MFA) quase dobrou desde 2020 e tanto os defensores dos consumidores como as agências governamentais recomendam a implementação desta tecnologia. Porém, como frequentemente ocorre, quando algo se torna popular, também vira um alvo. E, infelizmente, com o MFA não é diferente.
Alguns anos atrás, campanhas de segurança encorajaram os usuários a migrar de senhas fáceis para senhas mais fortes, contendo uma variedade maior de caracteres. Ao fazê-lo, indivíduos e empresas ganharam uma sensação de confiança ao adotar esta defesa contra criminosos que se escondem na internet.
No entanto, estes hackers são persistentes e inteligentes. À medida que os usuários cansaram de lembrar suas senhas, agora complexas, as pessoas passaram a armazená-las em “carteiras”, tornando-se alvo destes invasores. Essencialmente, o mesmo aconteceu com a autenticação multifator, também conhecida como autenticação de dois fatores (2FA), que insere uma segurança adicional às contas e sistemas online, exigindo que o usuário verifique sua solicitação de login.
Como os ataques ocorrem
À medida que os usuários passaram a depender e confiar na MFA, os hackers voltaram sua atenção a este método. De acordo com a Infoblox, líder em cibersegurança com serviços de rede DNS, os ataques de domínios de autenticação multifator falsos aumentaram nos últimos 15 meses, devido a kits de ferramentas baratos disponíveis no mercado negro, com o objetivo de implementar rapidamente um ataque em grande escala. Assim, um ataque comum de MFA funciona da seguinte forma:
O criminoso obtém um conjunto de números de telefone de seus alvos e registra um nome de domínio semelhante a MFA, 2FA, Okta, Duo ou uma de várias outras palavras-chave de verificação conhecidas. Em seguida, utiliza um kit de ferramentas para enviar mensagens de texto SMS com uma mensagem urgente solicitando que o usuário verifique suas credenciais em uma conta. No momento em que o usuário clica no link, o invasor interage ativamente e intercepta os códigos de autenticação multifator. Dessa forma, o farsante retransmite os códigos de autenticação usuário para o sistema real e obtém acesso à conta.
A partir disso, o hacker pode realizar outros ataques, a fim de obter mais acesso e aumentar seus privilégios, ou pode simplesmente roubar informações do usuário e seguir em frente. Esses ataques, conhecidos como phishing, são usados??tanto contra consumidores quanto contra empresas. E, embora possa não parecer muito, basta um phishing bem-sucedido para comprometer uma rede.
Da mesma forma, a Infoblox relata que 100% dos domínios semelhantes ao MFA são usados ??pelo criminoso dentro de 24 horas após o registro. Isto contrasta surpreendentemente com a maior parte dos domínios de phishing, no qual apenas 55% foram usados ??no mesmo dia em que foram registrados.
Há muitos anos, os domínios de phishing eram registrados, usados ??imediatamente e depois abandonados quase com a mesma rapidez, em um ciclo rápido. No entanto, a indústria de cibersegurança foi rápida em desenvolver uma resposta a estas táticas, incluindo o bloqueio de domínios recentemente registados e o desenvolvimento de sistemas de digitalização que procuravam conteúdos de phishing ativos com base em dados de registro.
Os phishers responderam atrasando o uso de seus domínios, uma prática chamada envelhecimento estratégico. De acordo com dados da Infoblox, os últimos 5 anos mostraram consistentemente uma tendência de phishing em direção ao envelhecimento estratégico, com mais de 30% dos domínios sendo observados pela primeira vez em campanhas de três dias após o registro.
Há também o spear phishing, que, ao contrário dos phishings comuns, são ataques altamente focados. Normalmente, cria-se um nome de domínio que combina termos que fazem referência à autenticação multifatorial, como 2FA, Okta, MFA ou verificação, com o nome da empresa. Normalmente, os sistemas vão detectar esse tipo de domínio. No entanto, ao agir rapidamente, o hacker aproveita o atraso nos sistemas de segurança.
Embora as semelhanças genéricas com MFA sejam comuns, há um grande número de domínios maliciosos que incluem uma empresa semelhante e um termo associado à autenticação multifator. Frequentemente, o nome da empresa será abreviado ou digitado incorretamente. As instituições financeiras e os fornecedores de serviços de internet são alvos comuns desta abordagem.
Exemplos de tais domínios de phishing observados em setembro incluem: samtanfe-verify[.]click, 2fa-portal-nsandi[.]com, scotiasecureinfo-verify[.]services e verify-wick[.]xyz. Esses domínios são semelhantes a entidades bancárias e bots discord. Os agentes de ameaças, por vezes, se envolverão em uma variedade de métodos para explorar os usuários, incluindo domínios de phishing semelhantes, bem como o spear phishing.
Como se proteger
Embora alguns ataques ocorram por meio de SMS, os ataques de autenticação multifator também são realizados de outras maneiras, como e-mails de phishing, sites comprometidos e fraudulentos e malvertising. No início deste ano, a Cibersegurança e Segurança de Infraestrutura (CISA) dos EUA divulgou um comunicado sobre uma campanha que envolve o uso malicioso de software legítimo de monitoramento e gerenciamento remoto (RMM). Nesses incidentes, o invasor solicita que o usuário digite um domínio semelhante por telefone em um navegador da web.
O grande número de domínios semelhantes demonstra a carga que recai sobre os usuários em proteger tanto sua casa quanto seu local de trabalho. Ainda que alguns especialistas em segurança argumentem que ataques bem-sucedidos destacam a necessidade de maior vigilância por parte das pessoas, envergonhá-los pela falha dos sistemas de segurança não é a resposta.
Dessa forma, os usuários precisam se manter céticos nessas situações, uma vez que estes criminosos estão sempre inovando e levantando novas formas de conseguir suas informações pessoais. É crucial que as pessoas se certifiquem e investiguem com quem realmente estão se comunicando, antes de passar qualquer informação pessoal. Embora esses ataques sejam raros, quando bem-sucedidos podem ser profundamente prejudiciais.