6 maneiras pelas quais os hackers podem contornar as estratégias de prevenção MFA +

As organizações devem implementar medidas eficazes de proteção de conta ou se colocar em maior risco de violações de dados e outros ataques cibernéticos graves, como injeções de ransomware. A autenticação multifator (MFA) é um componente crucial do programa de segurança cibernética de qualquer organização.

A MFA adiciona uma camada adicional de segurança, ajudando a impedir que hackers obtenham acesso não autorizado a dados confidenciais. Embora a MFA seja um mecanismo de defesa eficaz, os cibercriminosos estão se tornando cada vez mais sofisticados em seus métodos de ataque.

Há muitas maneiras pelas quais os hackers podem contornar o MFA para realizar ataques cibernéticos devastadores - e essa lista está crescendo. Este artigo descreve como os hackers podem explorar a MFA e como proteger os dados confidenciais da sua organização contra esses ataques.

O que é autenticação multifator?

A autenticação multifator (MFA) é um método de proteção de conta em que os usuários devem fornecer dois ou mais fatores diferentes de autenticação para acessar uma conta ou outro sistema interno. A MFA é mais segura do que a autenticação de fator único (SFA) tradicional, que requer apenas um conjunto de credenciais de login, geralmente um nome de usuário e senha. A autenticação de dois fatores (2FA) é um subconjunto da MFA, em que exatamente dois fatores de autenticação são necessários.

Saiba mais sobre a diferença entre 2FA e MFA.

Entender como a MFA funciona requer uma compreensão mais ampla do conceito de autenticação. Em uma estrutura de gerenciamento de acesso de identidade (IAM), os fatores de autenticação são mecanismos de segurança usados para provar que um usuário é quem afirma ser antes de ter permissão para acessar informações privilegiadas.

Existem três tipos de fatores de autenticação, incluindo:

1. Fator de conhecimento (algo que você sabe): por exemplo, uma senha de uso único (OTP), um número de identificação pessoal (PIN)/senha, uma resposta a uma pergunta de segurança.

2. Fator de posse (algo que você tem): por exemplo, um chaveiro, um token de hardware, uma chave de segurança, um endpoint, como um telefone celular, que pode receber notificações push ou mensagens de texto.

3. Fator de inerência (algo que você é): por exemplo, biometria, como impressões digitais, reconhecimento facial, varredura de retina, reconhecimento de voz.

A MFA exige que os usuários comprovem pelo menos dois desses fatores para verificar sua identidade.

Saiba mais sobre como a MFA funciona.

Como a MFA protege as organizações?

A autenticação atua como uma barreira adicional entre os cibercriminosos e os dados confidenciais. Confiar na autenticação de fator único (SFA) significa que os agentes de ameaças podem explorar facilmente vetores de ataque, como senhas vazadas ou reutilizadas, para invadir contas corporativas.

Por exemplo, o Relatório de Investigação de Violação de Dados de 2022 da Verizon descobriu que 43% dos ataques de comprometimento de e-mail comercial relatados envolveram o uso de credenciais roubadas contra a organização vítima. Com a MFA, mesmo que um hacker roube uma senha, ele ainda precisa fornecer pelo menos dois fatores adicionais de autenticação antes de obter acesso - um requisito que provavelmente não atenderá.

Embora a MFA possa desencorajar os cibercriminosos amadores de tentar mais comprometimentos, hackers mais habilidosos ignoram os requisitos da MFA usando várias táticas. As organizações devem estar cientes desses diferentes métodos para fornecer a defesa mais eficaz contra ataques dessa natureza.

Como os cibercriminosos podem contornar a autenticação multifator

Abaixo estão seis maneiras comuns pelas quais os cibercriminosos podem contornar a MFA. Os hackers também podem usar esses métodos para ignorar a autenticação de dois fatores.

1. Engenharia Social

A engenharia social envolve enganar a vítima para revelar informações privilegiadas que podem ser aproveitadas em um ataque cibernético. Esse método de ataque é mais comumente usado quando o invasor já comprometeu o nome de usuário e a senha da vítima e precisa ignorar fatores de autenticação adicionais.

Saiba mais sobre técnicas de engenharia social.

O phishing é uma das táticas de engenharia social mais comuns usadas para obter fatores de autenticação. Em um ataque de phishing, um cibercriminoso se apresenta como uma fonte confiável. Ele engana um destinatário de e-mail para que divulgue informações confidenciais ou clique em um link infestado de malware no e-mail, ajudando inadvertidamente a comprometer sua conta.

Por exemplo:

• Um cibercriminoso obtém as credenciais de login de um funcionário para o fornecedor de SaaS de uma organização e tenta fazer login no serviço, solicitando a verificação por SMS.
• O hacker se passa por fornecedor e envia um e-mail ao funcionário, solicitando o código de verificação para confirmação da conta.
• O funcionário cai no golpe e responde ao e-mail com o código SMS, permitindo que o hacker comprometa sua conta.

Se ignorar diretamente a MFA não for uma opção, o cibercriminoso também poderá enviar um e-mail de phishing para obter informações pessoais sobre o funcionário, que podem ser usadas para verificação por telefone. Por exemplo:

• O hacker engana o funcionário para enviar dados pessoais básicos por e-mail.
• O hacker liga para o suporte ao cliente do provedor de serviços, alegando que sua conta está bloqueada.
• Depois de verificar alguns detalhes pessoais, o hacker é capaz de enganar o fornecedor para conceder acesso à conta do funcionário.

Saiba como identificar phishing.

2. Phishing de consentimento

A autorização aberta (OAuth) é usada por muitos aplicativos para solicitar acesso limitado aos dados da conta de um usuário. Por exemplo, um aplicativo de terceiros pode solicitar permissões de acesso à agenda do Google de um usuário por meio do OAuth, sem solicitar a senha do usuário ou acesso total à sua conta do Google.

Por meio de um método de ataque moderno chamado phishing de consentimento, os hackers podem se passar por páginas de login OAuth legítimas e solicitar qualquer nível de acesso necessário de um usuário. Se essas permissões forem concedidas, o hacker poderá contornar com sucesso a necessidade de qualquer verificação de MFA, potencialmente permitindo uma aquisição total da conta.

3. Força bruta

Os hackers realizam ataques de força bruta tentando diferentes combinações de senha até serem atingidos. O sucesso desses ataques em contornar a MFA depende do uso de combinações básicas de senha como fator de autenticação, como um PIN temporário de 4 dígitos, que é mais fácil de quebrar do que uma combinação alfanumérica complexa.

Se for bem-sucedido, o hacker comprometeu um fator de autenticação, deixando-o um passo mais perto de comprometer a conta.

Saiba mais sobre ataques de força bruta.

4. Explorando tokens gerados

Muitas plataformas online dependem do uso de aplicativos de autenticação, como o Microsoft Authenticator e o Google Authenticator, para gerar tokens temporários para uso como fatores de autenticação.

Como backup, essas plataformas geralmente fornecem aos usuários uma lista de códigos de autenticação manual para evitar bloqueios de conta.

Se impresso ou salvo em um local digital não seguro, o cibercriminoso pode obter essa lista por meio de roubo físico ou exploração de práticas inadequadas de segurança de dados para acessá-la e comprometer a conta da vítima.

5. Seqüestro de sessão

O sequestro de sessão (ou roubo de cookies) ocorre quando um cibercriminoso compromete a sessão de login de um usuário por meio de um ataque man-in-the-middle. Os cookies de sessão desempenham um papel importante na experiência do usuário em serviços da web.

Quando um usuário faz login em uma conta online, o cookie de sessão contém as credenciais de autenticação do usuário e rastreia sua atividade de sessão. O cookie permanece ativo até que o usuário termine a sessão fazendo logout.

O sequestro de sessão é possível quando um servidor web não sinaliza cookies de sessão como seguros. Se os usuários não enviarem cookies de volta ao servidor por HTTPS, os invasores poderão roubar o cookie e sequestrar a sessão, ignorando a MFA.

Saiba mais sobre o sequestro de sessão.

6. Hacking de SIM

O hacking do SIM ocorre quando um hacker compromete o número de telefone da vítima obtendo acesso não autorizado ao cartão SIM. As técnicas comuns incluem troca de SIM, clonagem de SIM e SIM-jacking.

Com controle total sobre o número de telefone da vítima, o hacker pode receber e interceptar senhas de uso único (OTPs) geradas por SMS para fornecer esse fator de autenticação durante uma tentativa de invasão.

Saiba mais sobre as técnicas usadas para hackear cartões SIM.

Como fortalecer a AMF

Com o conhecimento dos possíveis vetores de ataque que os cibercriminosos usam para contornar a MFA, sua organização pode criar uma defesa projetada em torno desses métodos. As técnicas de defesa recomendadas estão listadas abaixo.

• Evite o uso de OTPs numéricos curtos sempre que possível, optando por uma combinação alfanumérica mais longa com caracteres maiúsculos e minúsculos, que são muito mais difíceis de decifrar.

• Use a autenticação biométrica como pelo menos um fator de autenticação - é muito mais difícil ignorar uma impressão digital do que um código de 4 dígitos.

• Crie senhas complexas e os cibercriminosos podem facilmente forçar senhas simples.

• Não reutilize senhas - os cibercriminosos podem usar um conjunto de credenciais vazadas para comprometer outras contas.

• Opte por senhas de uso único baseadas em tempo (TOTP) para reduzir a quantidade de tempo que os hackers têm para acesso de força bruta ou login após uma tentativa de phishing bem-sucedida.

• Evite fatores de autenticação baseados em SMS sempre que possível. Os OTPs de SMS são um dos códigos 2FA mais facilmente comprometidos.

• Todos os fornecedores devem ter um servidor que restrinja o número de tentativas malsucedidas de login de MFA que um usuário pode fazer.

• Administre treinamentos regulares de conscientização sobre segurança cibernética, incluindo tópicos relevantes de segurança de MFA, como técnicas comuns de engenharia social, como identificar e-mails de phishing e criar uma senha segura.

• Restrinja o uso de aplicativos não sancionados. É muito mais provável que o departamento de TI esteja ciente e aconselhe sobre tentativas de engenharia social em plataformas que conhece do que naquelas que não conhece

• Monitore sua superfície de ataque. Os cibercriminosos podem explorar vulnerabilidades externas, como segurança de rede ruim, como o primeiro passo em uma tentativa de comprometimento da conta. Uma solução de gerenciamento de superfície de ataque pode identificar vulnerabilidades que afetam os ativos voltados para a Internet de você e de seus fornecedores em tempo real, permitindo que você as corrija antes que sejam exploradas.

Saiba como o software de gerenciamento de superfície de ataque pode melhorar a defesa cibernética da sua organização.