Grupo hacker utiliza técnica antiga para invadir empresas
Unsplash/Mika Baumeister
Grupo hacker utiliza técnica antiga para invadir empresas

Os recentes ataques hackers a governos e empresas deixam muitas perguntas no ar. Afinal, como eles conseguem? Uma técnica chamada MFA bombing aparentemente é parte da estratégia. Ela não é nova, mas vem sendo usada por grupos como o Lapsus$, que estaria por trás das ações contra o ConecteSUS , a Microsoft  e a Nvidia . O truque explora fraquezas dos usuários para conseguir autorização e entrar nos sistemas.

MFA é a sigla para multi-factor authentication, ou autenticação multifator. Este é o nome dado à proteção extra que alguns serviços e sistemas oferecem.

Ela é parecida com a autenticação por dois fatores ou verificação em duas etapas, mas pode ir além e exigir três ou mais passos. Assim, não basta saber usuário e senha — é preciso de no mínimo um fator extra para entrar.

Esse fator pode ser um SMS com uma senha, um código gerado por um aplicativo como o Google Authenticator, uma notificação para o usuário autorizar, uma verificação biométrica de digital ou face ou uma chave física.

Uma frase muito repetida em segurança da informação é que o usuário é o elo mais fraco de qualquer sistema. E ele é justamente o alvo do MFA bombing.

Bombardear até aceitar

O MFA bombing foca na notificação. A ideia é, como o nome sugere, bombardear o usuário com solicitações até ele aceitar.

Os hackers escolhem até mesmo horários em que ele pode estar mais vulnerável — por exemplo, mandar centenas de pedidos de madrugada, quando a pessoa está com sono.

Segundo o Ars Technica, existem jeitos mais sutis. Um deles é mandar uma ou duas solicitações por dia. Isso chama menos a atenção, mas ainda tem uma boa chance de fazer o usuário aceitar. Outro é ligar para o alvo e se passar pela empresa dizendo que o funcionário precisa autorizar o pedido.

Leia Também

Uma das fontes ouvidas pela reportagem do Ars Technica diz que os hackers do Lapsus$ vêm usando a técnica com bastante sucesso. No entanto, não foram eles que inventaram o método e não devem levar os créditos por ele, que já existe há cerca de dois anos.

Padrão mais seguro também é suscetível a ataques

Como você deve saber, nada é 100% seguro, e isso inclui a autenticação multifator. Existe um padrão mais seguro chamado FIDO2. Ele foi criado por um consórcio de empresas e tem como objetivo equilibrar segurança e facilidade de uso.

Uma das diferenças é que ele é atrelado à máquina que alguém está usando para acessar um sistema. Por isso, não dá para usar um aparelho para autorizar outro. O FIDO2 é relativamente novo e, por isso, foi adotado por poucas empresas.

Se as empresas ainda permitem formas menos seguras de autenticação junto com o novo padrão, isso se torna por si só um ponto de vulnerabilidade. Mesmo assim, alguns grupos hackers já foram capazes de dar um jeitinho e invadir sistemas que oferecem apenas MFA no padrão FIDO2.

O grupo hacker russo Nobelium, responsável pelo ataque à SolarWinds, conseguiu driblar a autenticação. Não foi fácil: eles precisaram comprometer o Active Directory, ferramenta de banco de dados altamente protegida.

O Active Directory é usado por administradores de rede para criar, deletar ou modificar contas de usuários, além de dar os privilégios necessários para acessar alguns recursos. Se ele é hackeado, não tem o que salve.

É bom ressaltar que qualquer autenticação em dois fatores, por pior que seja, é melhor que nada. Senhas enviadas por SMS são extremamente falhas e problemáticas, principalmente quando se considera golpes de SIM swap. No entanto, se essa for a única opção disponível, não pense duas vezes: use-a.

Mesmo assim, fica o alerta. Não basta apenas ter autenticação multifator — é preciso que todos na empresa saibam como usá-la e quais riscos estão correndo.

    Veja Também

    Mais Recentes

      Comentários