2022/03/29

Como os hackers ultrapassam a autenticação MFA

Algumas das tácticas utilizadas por grupos de hackers como o Lapsus$ para ultrapassar autenticação multi-factor (MFA) é mais "low-tech" do que se poderá pensar.

A autenticação MFA (multi-factor) é um dos maiores pesadelos e entraves para quem se tenta aventurar a entrar em contas alheias, já que além de uma password correcta pedem um código temporário adicional que pode ser enviado através de uma notificação ou SMS para o utilizador legítimo (com os SMS a não serem aconselhados). O processo de superar essa barreira pode ser bastante trabalhoso, obrigando a recorrer a ataques estilo SIM Swap para se apoderarem do número de telefone das vítimas (e daí os SMS serem desaconselhados), mas outras vezes pode ser bastante mais simples.

O grupo Lapsus$ e os hackers que fizeram o ataque SolarWinds usaram uma táctica bastante mais simples para superarem a barreira MFA: chatearem os seus alvos até à exaustão!

As tácticas passam por bombardear as vítimas com pedidos de autorização do acesso à conta. Um dos membros do grupo Lapsus$ revelou: "Como não existe um limite no número de pedidos que pode ser feito, basta fazer uma centena de telefonemas / pedidos à 1h da manhã, enquanto a pessoa está a tentar dormir, e há boas probabilidade que ele aceite o pedido só para fazer calar o smartphone." E a partir daí iniciando o processo de associar o código MFA a outro equipamento na posse dos hackers. Outra forma mais discreta passa por fazer pedidos menos numerosos mas de forma mais regular - por exemplo, todos os dias à mesma hora - de modo a que o utilizador se habitue a eles e pense que seja um qualquer problema técnico que está a fazer com que seja necessário reactivar o acesso.

Uma ou outra forma já deram os seus frutos, permitindo que estes grupos de hackers se infiltrassem em redes de grandes empresas. Pelo que fica o alerta: a autenticação MFA não é uma segurança 100% garantida; e mesmo quando tecnicamente a segurança é (quase) perfeita, o factor humano continua a poder ser o elo mais fraco.

2 comentários:

  1. Fantástico.
    Não dá para ultrapassar? Vamos bombardear até a pessoa autorizar só para calar aquilo, ou cometer algum erro de ir visitar uma página "especial" para ultrapassar aquele bombardeamento.
    É uma barreira, mas claramente não vai funcionar se as pessoas cometerem algum erro.
    Nesse aspecto o FIDO2 é melhor porque a pessoa não pode autorizar terceiros a entrar por si sem pelo menos instalar algo maligno no seu dispositivo.

    ResponderEliminar

[pub]