Sinais de ataques de fadiga de MFA e como evitá-los

Com o advento de métodos avançados de autenticação, muitas organizações incorporaram a autenticação multifator (MFA) em sua estratégia de IAM. A MFA proporcionou uma mudança bem-vinda, eliminando a dependência exclusiva de nomes de usuário e senhas para a segurança da identidade. A técnica evoluiu para proteger tudo, desde eventos importantes, como logins em aplicações, até ações periféricas, como prompts para executar como administrador. Os métodos de autenticação mais recentes, como biometria e senhas FIDO2, também ajudam a melhorar a segurança sem comprometer a experiência do usuário.

Inicialmente, a MFA surgiu como um oponente formidável para ataques cibernéticos e malware, principalmente ataques baseados em senhas, registro de chaves e phishing. Embora a introdução da MFA tenha interrompido brevemente esses ataques, os hackers agora têm vários truques na manga para contornar a autenticação multifatorial. Um método popular que eles usam é o ataque de fadiga de MFA. Também conhecido como bombardeio ou spam de MFA, esse ataque de engenharia social causa fadiga de MFA nos usuários, bombardeando-os constantemente com notificações da autenticação até que sejam manipulados para verificar sua identidade por meio dessas notificações acionadas. Ao fazer isso, eles, sem saber, fornecem a um invasor acesso à sua conta.

Como a fadiga da MFA é induzida nos usuários?

Atualmente, as empresas incorporaram a MFA para proteger a maioria de seus endpoints de rede. Embora muitas empresas se esforcem para desenvolver políticas de autenticação que afetem minimamente a experiência do usuário, incorporando recursos contínuos como notificações push, os usuários podem se tornar complacentes com esses processos de autenticação de baixo esforço.

Os hackers tentam explorar essa tendência e fazer uma solicitação de acesso ao recurso corporativo. O usuário receberá um prompt de MFA solicitando permissão de acesso. Se o usuário identificar a solicitação como não autorizada e rejeitá-la, seu dispositivo ficará sobrecarregado com mais prompts. Isso pode causar sobrecarga e confusão, e os usuários geralmente aceitam a solicitação em uma tentativa de interromper outros prompts. O hacker, então, consegue entrar com sucesso na rede da empresa, criando uma crise de segurança de dados.

O processo de ataque de fadiga de MFA

Veja abaixo um resumo de um ataque típico de fadiga de MFA:

• O precursor deste tipo de ataque são as credenciais expostas. A menos que seja um fluxo de autenticação sem senha, os hackers primeiro colocam as mãos nas credenciais de um usuário usando métodos como força bruta ou phishing, ou obtendo-as de fontes ilícitas de senhas expostas.
• Em seguida, as credenciais roubadas são usadas para fazer solicitações de acesso à aplicação ou recurso do usuário. Os hackers têm como alvo os sistemas que usam notificações push para o segundo estágio da autenticação, pois isso envolve apenas aceitar a notificação. O hacker envia persistentemente as solicitações de acesso em rápida sucessão para cansar o usuário. Às vezes, eles podem até entrar em contato com o usuário se passando por um técnico de suporte ou administrador de TI e convencê-lo a aceitar a notificação, citando as solicitações como um mau funcionamento ou um teste.
• O usuário, cansado do fluxo de notificações push, aceita uma solicitação e é vítima do ataque. O hacker agora tem acesso à aplicação ou recurso. Com base nas permissões e privilégios mantidos pela conta do usuário, ele poderá se mover pela rede e acessar recursos confidenciais. Isso pode resultar em uma violação de dados confidenciais, roubo de propriedade intelectual e, em casos piores, até mesmo um ataque de ransomware.

Como evitar ataques de fadiga de MFA

Embora nenhum método de autenticação seja totalmente infalível, existem fatores que podem ajudar na elaboração de uma política de autenticação que seja resistente a ataques de fadiga de MFA. Eles incluem:

1. Educação do usuário: Os usuários devem aprender a importância de criar e manter senhas fortes que sejam resistentes à exposição. Eles também devem ser orientados a desconfiar de phishing e de outros métodos de engenharia social empregados para roubar senhas. Por fim, eles devem estar cientes dos sinais indicadores de ataques de fadiga de MFA, como padrões de acesso irregulares ou um número excepcionalmente alto de solicitações de MFA.
2. Métodos seguros de MFA: Embora as notificações push sejam um método de autenticação fácil de usar, elas podem ser facilmente transformadas em armas. Métodos como TOTPs, biometria e tokens de hardware são mais seguros e não sobrecarregam os usuários com notificações.
3. Autenticação adaptativa: A autenticação adaptativa ou baseada em risco ajusta automaticamente o rigor do processo de verificação de identidade com base no nível de risco da tentativa de acesso. Por exemplo, a MFA pode ser exigida somente para recursos confidenciais ou quando forem feitas tentativas de acesso fora do comum. Detalhes como localização geográfica e horário de acesso podem ser usados para determinar se uma tentativa de acesso é arriscada ou não. Além disso, o acesso ao recurso pode ser bloqueado após várias tentativas de acesso fracassadas.
4. Auditoria detalhada: As tentativas de acesso e autenticação dos usuários podem ser continuamente auditadas e monitoradas para detectar ações ou eventos peculiares. Os logs de auditoria também podem ser analisados por soluções SIEM para detectar e gerar sinais de ameaças antes que elas afetem as operações.
5. Single sign-on (SSO): Implemente o SSO para reduzir o uso de MFA. Depois que os usuários se autenticam pela primeira vez com um provedor de identidade usando um fluxo seguro de MFA, eles podem ter permissão para acessar seus recursos e aplicações sem autenticação adicional.

O ADSelfService Plus é uma solução de segurança de identidade com capacidades de MFA, SSO e gerenciamento de autoatendimento de senhas. Seu recurso de MFA oferece segurança de identidade holística, fortalecendo o acesso a endpoints como máquinas, aplicações, VPNs e OWA. Ele é equipado com 20 métodos de autenticação, incluindo biometria, chaves de acesso FIDO e autenticação TOTP. O recurso de acesso condicional da solução modifica automaticamente os controles de acesso com base na localização geográfica, no horário de acesso, no tipo de dispositivo e no endereço IP para melhorar a postura de segurança sem afetar a experiência do usuário. Oferece relatórios incorporados que fornecem auditorias abrangentes das tentativas e falhas de autenticação dos usuários, dispositivos de autenticação registrados e muito mais. A solução também fornece SSO para aplicações baseadas em SAML, OAuth e OIDC.

Para conhecer melhor as capacidades de segurança de identidade do ADSelfService Plus, obtenha um teste gratuito de 30 dias do produto aqui.