Os recentes ataques hackers a governos e empresas deixam muitas perguntas no ar. Afinal, como eles conseguem? Uma técnica chamada MFA bombing aparentemente é parte da estratégia. Ela não é nova, mas vem sendo usada por grupos como o Lapsus$, que estaria por trás das ações contra o ConecteSUS
, a Microsoft
e a Nvidia
. O truque explora fraquezas dos usuários para conseguir autorização e entrar nos sistemas.
MFA é a sigla para multi-factor authentication, ou autenticação multifator. Este é o nome dado à proteção extra que alguns serviços e sistemas oferecem.
Ela é parecida com a autenticação por dois fatores ou verificação em duas etapas, mas pode ir além e exigir três ou mais passos. Assim, não basta saber usuário e senha — é preciso de no mínimo um fator extra para entrar.
Esse fator pode ser um SMS com uma senha, um código gerado por um aplicativo como o Google Authenticator, uma notificação para o usuário autorizar, uma verificação biométrica de digital ou face ou uma chave física.
Uma frase muito repetida em segurança da informação é que o usuário é o elo mais fraco de qualquer sistema. E ele é justamente o alvo do MFA bombing.
Bombardear até aceitar
O MFA bombing foca na notificação. A ideia é, como o nome sugere, bombardear o usuário com solicitações até ele aceitar.
Os hackers escolhem até mesmo horários em que ele pode estar mais vulnerável — por exemplo, mandar centenas de pedidos de madrugada, quando a pessoa está com sono.
Segundo o Ars Technica, existem jeitos mais sutis. Um deles é mandar uma ou duas solicitações por dia. Isso chama menos a atenção, mas ainda tem uma boa chance de fazer o usuário aceitar. Outro é ligar para o alvo e se passar pela empresa dizendo que o funcionário precisa autorizar o pedido.
Uma das fontes ouvidas pela reportagem do Ars Technica diz que os hackers do Lapsus$ vêm usando a técnica com bastante sucesso. No entanto, não foram eles que inventaram o método e não devem levar os créditos por ele, que já existe há cerca de dois anos.
Padrão mais seguro também é suscetível a ataques
Como você deve saber, nada é 100% seguro, e isso inclui a autenticação multifator. Existe um padrão mais seguro chamado FIDO2. Ele foi criado por um consórcio de empresas e tem como objetivo equilibrar segurança e facilidade de uso.
Uma das diferenças é que ele é atrelado à máquina que alguém está usando para acessar um sistema. Por isso, não dá para usar um aparelho para autorizar outro. O FIDO2 é relativamente novo e, por isso, foi adotado por poucas empresas.
Se as empresas ainda permitem formas menos seguras de autenticação junto com o novo padrão, isso se torna por si só um ponto de vulnerabilidade. Mesmo assim, alguns grupos hackers já foram capazes de dar um jeitinho e invadir sistemas que oferecem apenas MFA no padrão FIDO2.
O grupo hacker russo Nobelium, responsável pelo ataque à SolarWinds, conseguiu driblar a autenticação. Não foi fácil: eles precisaram comprometer o Active Directory, ferramenta de banco de dados altamente protegida.
O Active Directory é usado por administradores de rede para criar, deletar ou modificar contas de usuários, além de dar os privilégios necessários para acessar alguns recursos. Se ele é hackeado, não tem o que salve.
É bom ressaltar que qualquer autenticação em dois fatores, por pior que seja, é melhor que nada. Senhas enviadas por SMS são extremamente falhas e problemáticas, principalmente quando se considera golpes de SIM swap. No entanto, se essa for a única opção disponível, não pense duas vezes: use-a.
Mesmo assim, fica o alerta. Não basta apenas ter autenticação multifator — é preciso que todos na empresa saibam como usá-la e quais riscos estão correndo.