BLOG

O MFA resolve a ameaça de apropriação indébita de contas?

Miniatura de Jim Downey
Jim Downey
Publicado em 26 de junho de 2023

Para criminosos que tentam realizar fraudes de apropriação indébita de contas por meio de preenchimento de credenciais, a autenticação multifator (MFA) acrescenta obstáculos, mas os invasores descobriram maneiras de contornar a MFA, o que significa que a MFA por si só não elimina a ameaça de apropriação indébita de contas. As empresas precisam tomar medidas adicionais para reforçar a segurança do MFA, incluindo mitigação de bots e monitoramento de risco contextual.

Apesar de suas fraquezas, o MFA é um avanço significativo porque a autenticação somente por senha falhou claramente. Nós, humanos, simplesmente não conseguimos lembrar de longas sequências de caracteres, então pegamos atalhos, escolhendo senhas simples e previsíveis e reutilizando senhas em vários aplicativos, o que levou a muitas violações de segurança.

Entretanto, com o fracasso das senhas e a adoção do MFA, vimos um aumento nos ataques contra o MFA, como:

Proxies de phishing em tempo real

Em um ataque de proxy de phishing em tempo real (RTPP), os fraudadores usam mensagens de phishing para enganar os usuários e fazê-los visitar um site controlado pelo invasor que parece um site confiável, induzindo o usuário a inserir suas credenciais e aprovar a solicitação de autenticação de segundo fator, seja uma mensagem SMS ou uma notificação push. O RTPP encaminha as credenciais para o aplicativo de destino e obtém acesso. Para uma demonstração do ataque, assista a este vídeo do hacker e consultor de segurança Kevin Mitnick, e para informações sobre o crescimento de proxies de phishing em tempo real, consulte o Relatório de Phishing e Fraude do F5 Labs .

Atentado ao MFA

Em ataques de bombardeio MFA , o invasor engana o alvo para que ele forneça seu código de autenticação enviando várias solicitações fraudulentas do código. Isso funciona melhor contra aplicativos autenticadores que dependem de notificações push , porque o usuário pode facilmente fazer com que o fluxo de solicitações pare com o toque de um botão. Às vezes, os invasores combinam bombardeio de MFA com engenharia social para incentivar os usuários a aceitar a notificação por push e conceder acesso.

Falsificação biométrica

Os invasores até contornaram a autenticação biométrica. Afinal, deixamos nossas impressões digitais em todos os lugares, em quase todas as superfícies lisas que tocamos, onde elas podem ser coletadas e replicadas usando qualquer coisa, desde uma impressora 3D até ingredientes de ursinhos de goma . Pesquisadores de segurança também demonstraram a falsificação de reconhecimento facial e de voz , bem como a digitalização de íris . Embora os fornecedores tenham desenvolvido técnicas anti-spoofing, como verificações de atividade para detectar tentativas de desvio, qualquer dispositivo biométrico pode se tornar vulnerável à medida que os invasores avançam no estado da arte.

Troca de SIM

A troca de SIM envolve fraudadores que exploram a capacidade dos provedores de serviços de transferir um número de telefone para outro dispositivo. O fraudador coleta informações pessoais sobre a vítima e então usa engenharia social para que uma pessoa de suporte transfira o número de telefone da vítima para o SIM do fraudador. Com controle sobre o serviço telefônico da vítima, o fraudador recebe as mensagens de texto destinadas ao usuário, o que lhe permite interceptar senhas de uso único (OTPs) e ignorar o MFA.

Reforçando a segurança do MFA

Como o MFA é uma melhoria significativa em relação à autenticação somente por senha, ele veio para ficar, então os profissionais de segurança cibernética devem abordar suas vulnerabilidades.

Uma boa maneira de começar é mitigar os bots. Explorando a reutilização de senhas, os invasores implantam bots para testar credenciais roubadas em logins, uma técnica definida pela OWASP como credential stuffing , que os faz passar pelo primeiro fator no MFA. Os invasores também usam bots em ataques RTPP para encaminhar OTPs ao site de destino antes que eles expirem. O bombardeio de MFA também é um ataque automatizado que depende de bots. Por meio de uma solução eficaz de gerenciamento de bots, uma equipe de segurança pode eliminar uma ferramenta essencial na qual os invasores confiam para dimensionar técnicas de desvio de MFA.

Outra maneira de mitigar as vulnerabilidades do MFA é considerar o risco contextual. O risco contextual pode ser determinado pelo endereço IP do usuário, ISP, localização, hora do dia, dispositivo, funcionalidade acessada e comportamento, todos os quais podem ser usados para calcular uma pontuação de risco conforme o usuário navega por um aplicativo. Quanto maior a pontuação, mais rigorosos serão os requisitos de autenticação, o que pode culminar na desativação de uma conta.

PRÓXIMOS PASSOS

Certamente veremos mais proclamações sobre a morte das senhas, juntamente com mais propaganda enganosa de que novas técnicas de MFA tornarão a autenticação segura de uma vez por todas, mas ainda haverá maneiras de invasores determinados contornarem novas implementações, exigindo que você continue analisando e mitigando as vulnerabilidades do MFA. Para uma análise mais aprofundada sobre por que a MFA é apenas um primeiro passo para evitar a apropriação indébita de contas, consulte o novo white paper do F5 . Por meio da parceria com a F5, você pode garantir o MFA e, ao mesmo tempo, otimizar a experiência do cliente. Saiba mais sobre os F5 Distributed Cloud Services e inscreva-se para falar com nossa equipe.