Décadas de ataques bem-sucedidos contra métodos de autenticação de fator único, que utilizam apenas login e senha, impulsionaram a adoção em larga escala de soluções mais seguras de autenticação multifator (MFA).
VEJA TAMBÉM: NGFW: O que é o Next Generation Firewall?
Essa tendência pode ser percebida nos últimos anos, uma vez que os sites e serviços mais populares, incluindo Google, Microsoft, Facebook e Twitter, ofereceram soluções de MFA para seus clientes.
Embora os mecanismos de autenticação multifator (MFA) reduzam os riscos de segurança, a maioria dos ataques que podem ser bem-sucedidos contra a autenticação de fator único também podem ser bem-sucedidos contra as soluções de MFA.
Ataques Man-in-the-Middle
A grande maioria das técnicas de hacking contra MFA tem a ver com engenharia social do usuário final. O método de desvio de MFA mais fácil é enganar a vítima para se conectar a um site proxy falso, man-in-the-middle (MitM), antes de se conectar ao site
legítimo ao qual pretendia ir. Não é difícil enganar uma pessoa para se conectar a um site malicioso. Basta um e-mail que pareça legítimo o suficiente para pedir que eles cliquem em um botão ou verifiquem algum tipo de informação.
Quando a vítima se conecta ao site falso, tudo o que o usuário faz e tudo o que o site real deseja enviar para a vítima passa pelo site MitM. O site proxy sabe tudo e vê tudo, possibilitando o roubo das credenciais de login do usuário, não importando se for apenas login e senha ou algum código MFA. O invasor pode usar essas credenciais para fazer login no site real se passando pela vítima, ou pode capturar o cookie de sessão de controle de acesso resultante, o que permite que ele assuma o controle da sessão.
A grande maioria das soluções MFA são suscetíveis a ataques MitM de algum tipo. Contudo, existem alguns métodos de MFA, como FIDO2, que não são.
Ataques Man-in-the-End Point
Se o seu computador ou dispositivo for infectado por um malware, qualquer coisa que você fizer, o hacker também poderá fazer. Isso inclui utilizar logins legítimos, roubar cookies de sessão e instituir novas transações e permissões. A forma mais comum desses tipos de ataques é o que é conhecemos como trojans bancários. Eles entram no seu computador como qualquer outro malware (geralmente através de engenharia social ou softwares desatualizados) e monitoram a atividade do seu navegador. Quando você acessa o seu internet banking, eles esperam que você faça login com sucesso e iniciam uma segunda sessão oculta do navegador para roubar todo o seu dinheiro. Atualmente, ameaças de malware focadas em dispositivos móveis estão fazendo esses tipos de ataques rotineiramente. O programa de malware EventBot é um bom exemplo.
Autenticação Falsa
Esse é um dos tipos de ataques mais difíceis de interromper em soluções de MFA. Um invasor pode induzir uma pessoa a visitar um site falso que parece um site legítimo, no qual o usuário normalmente usaria seu login MFA. Mas, em vez disso, o site simplesmente falsifica toda a rotina do MFA, desde pedir ao usuário que insira seu login do MFA até agir como se o login do MFA fosse aceito com sucesso. O site pode postar ações e solicitações falsas adicionais, como “Você deve atualizar as informações do seu cartão de crédito” e, em seguida, solicitar ao usuário que insira novamente os detalhes do cartão de crédito. Pode ser difícil para um provedor de MFA impedir a ocorrência de um evento de autenticação falso.
Ataques de Recuperação
Quase todos os métodos de MFA permitem que o login seja recuperado usando um método menos seguro do que o uso do MFA. As pessoas perdem seu MFA, perdem tokens, acidentalmente quebram as coisas e trocam de telefone celular. Solicitações para reativar novas instâncias de MFA e/ou fazer login enquanto a solução de MFA atual não está disponível é muito frequente em qualquer fornecedor que use uma solução de MFA. Por isso, quase todos os fornecedores permitem que os usuários ignorem temporariamente sua solução de MFA para fazer login ou solicitar uma nova solução de MFA.
O método de recuperação mais comum é fazer com que o usuário envie um link de URL de confirmação para uma conta de e-mail secundária e alternativa ou para um link enviado por SMS para o telefone do usuário. Os hackers costumam assumir a segunda conta de e-mail de um usuário e iniciam um evento de recuperação, que envia o link para o endereço de e-mail comprometido.
Outros métodos comuns de recuperação incluem “perguntas de redefinição de senha, que são oficialmente conhecidas como perguntas de conhecimento pessoal”. São perguntas como: “Qual é o nome de solteira da sua mãe?”, “Qual é o seu carro favorito?” e “Quem era seu professor favorito da terceira série?”. Quem pensou que o nome de solteira da nossa mãe não poderia ser procurado na Internet por ninguém? Não importa quais sejam as perguntas, elas são mais fáceis de adivinhar do que uma senha. O Google fez um ótimo artigo sobre isso há alguns anos. Nele, eles concluem que 20% das perguntas de recuperação podem ser adivinhadas na primeira tentativa por um hacker e um sexto das respostas podem ser encontradas no perfil de mídia social de uma pessoa.
MFA com Bugs
Todo MFA envolve programação, e quase toda programação possui bugs, que podem ser explorados por alguém que encontre essas vulnerabilidades. Quase todas as soluções de MFA possuíam uma ou mais vulnerabilidades, que acabaram se tornando conhecidas publicamente e foram usadas para contornar a solução. Mesmo que sua solução de MFA não tenha bugs conhecidos e publicados, provavelmente é só uma questão de tempo até serem descobertos por cibercriminosos. Ninguém aprendeu a fazer código 100% livre de bugs ainda. É a natureza do código de software e firmware.
Ataques Físicos
Qualquer dispositivo físico envolvido com MFA pode ser atacado. Ou seja, existem conexões de emanação físicas e sem fio, sinais e dispositivos de armazenamento que podem ser examinados para revelar segredos de autenticação. Microscópios eletrônicos têm sido usados para encontrar chaves de criptografia em soluções de MFA e discos rígidos protegidos. Ar comprimido têm sido usado para congelar chips de memória de dispositivos criptográficos, a fim de permitir que eles sejam transferidos para um computador forense onde os segredos contidos possam ser revelados. O tipo mais recente de ataque é conhecido como “cold boot”. Veja aqui um vídeo mostrando como ele funciona.
Ataques com base em OTP
Os tokens One-Time-Password (OTP) e aplicativos de telefone (como o Google Authenticator) enviam códigos de 4 a 6 dígitos que são atualizados em um determinado período de tempo (digamos, a cada minuto) ou após algum evento (como você fazer login com sucesso ou você apertando um botão para obter o próximo código). Os códigos OTP são gerados usando um valor aleatório selecionado uma única vez e outras informações, que são armazenadas em um banco de dados e no dispositivo ou instância MFA OTP. Se os invasores puderem acessar o banco de dados onde o segredo “seed” OTP está armazenado, eles poderão criar instâncias adicionais e não autorizadas do dispositivo ou instância OTP.
Os códigos OTP também podem sofrer ataques MitM, o que significa que os códigos que você digita em um prompt de MFA podem ser roubados à medida que você os digita, se inseridos em um site proxy semelhante e falso.
Cartões inteligentes
Os cartões inteligentes são o dispositivo MFA original. Esses tokens MFA do tamanho de um cartão de crédito contêm um microchip criptograficamente seguro, que protege os segredos armazenados. Hackers que acessarem fisicamente seu cartão inteligente, podem remover o chip, remover quimicamente as camadas de proteção física e depois roubar suas chaves secretas de criptografia usando um dispositivo de osciloscópio. Ataques de smartcards, estão bem documentados em artigos como Examining Smart-Card Security under Threat of Power Analysis Attacks e Known Attacks Against Smartcards.
Ataques de Força Bruta
Muitas soluções de MFA têm fatores “something-you-know" como senhas e PINs. Se um hacker se apossar do dispositivo MFA que está emparelhado, ele pode adivinhar a parte “something-you-know” utilizando várias tentativas. No mundo tradicional de senhas, estamos acostumados a nos limitar a um pequeno número de suposições incorretas antes que a conta seja bloqueada (conhecida como bloqueio de conta), porém algumas soluções de MFA apenas retardarão artificialmente suposições incorretas repetidas (chamadas de limitação de taxa). Algumas vezes, o hacker solicita uma nova tentativa de MFA para que o ele possa continuar a adivinhar até que esteja certo.
Quer saber como se defender contra hacks MFA?
Defesas contra Engenharia Social
Leve em consideração que nada, incluindo uma solução MFA, é inatacável
Inclua a conscientização sobre hackers em seu treinamento de segurança
Não se deixe enganar ao clicar em links não autorizados
Bloqueie links não autorizados o máximo possível
Certifique-se de que uma URL é legítima
Defesas contra Hacks Técnicos
Ative a obrigatoriedade de MFA sempre que possível
Não use MFA via SMS sempre que possível
Use soluções MFA “1:1”, que exigem que o lado do cliente seja pré-registrado no servidor
Exija autenticação bidirecional mútua sempre que possível
Utilize soluções de MFA que combatem especificamente o roubo de token de sessão e/ou replays maliciosos
Certifique-se de que os fornecedores de MFA usem o ciclo de vida de desenvolvimento seguro (SDL) em sua programação
Certifique-se de que o MFA tenha "limitação de tentativas" ou "bloqueio de conta" ativado
Distribua fatores de propagação em diferentes “canais” ou “bandas” (in-band/out-band)
Proteja e audite os atributos de identidade usados pelo MFA para identificação exclusiva de logins
Não responda a perguntas de redefinição de senha usando respostas verdadeiras
Use sites e serviços para autenticação dinâmica, onde fatores adicionais são solicitados para circunstâncias de maior risco
Compreenda os riscos dos sistemas de “shared secret”
Para autenticação de transações, é necessário enviar ao usuário todos os detalhes críticos "out-of-band" antes que a confirmação seja transmitida
Fonte: KnowBe4
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
