O MFA Prompt Bombing é um método de ataque eficaz usado por invasores para obter acesso a um sistema protegido por Multi-Factor Authentication (MFA). O invasor envia um grande número de solicitações de aprovação de MFA a um usuário para sobrecarregá-lo com as solicitações. Um clique errado e um invasor tem acesso.
Independentemente do nível de assédio MFA Prompt Bombing, o objetivo é que o usuário aceite a solicitação MFA e conceda acesso a contas ou forneça uma maneira de executar código malicioso em um sistema de destino. A indústria de segurança vê os ataques de bombardeio imediatos do MFA como uma forma de engenharia social. Esse conhecido vetor de ataque só ganhou popularidade entre os invasores nos últimos dois anos, mas muitos usuários e equipes de segurança ainda desconhecem essa técnica de ataque.
Bombardeamento imediato do MFA em ação
Um dos ataques MFA Prompt Bombing mais conhecidos e bem-sucedidos foi realizado pelo grupo de hackers Lapsus$. Suas ações destacaram os pontos fracos de certas configurações, incluindo notificações push. Em seus recentes ataques bem-sucedidos, o grupo de hackers bombardeou os usuários com solicitações até que as vítimas finalmente aprovassem o acesso. O grupo também aproveitou a capacidade dos fornecedores de MFA de permitir que os funcionários recebessem uma chamada telefônica para um dispositivo autorizado para autenticação e pressionassem uma tecla específica como um segundo fator.
Uma declaração postada por um membro do Lapsus$ no canal de bate-papo do grupo Telegram ilustra a tática descarada dos cibercriminosos: “Não há limite para o número de chamadas que você pode fazer. Se você ligar para o funcionário 100 vezes à 1 da manhã quando ele estiver tentando dormir, ele provavelmente aceitará. Assim que o agente atender a primeira chamada, você poderá acessar o portal de inscrição MFA e inscrever outro dispositivo.”
Equilíbrio entre usabilidade e segurança
Com a crescente notoriedade dos ataques de bombardeio de prompt de MFA, algumas organizações decidiram desativar as notificações por push para solicitações de autenticação e, em vez disso, aplicar senhas de uso único (OTP). O objetivo é dificultar o acesso dos invasores a informações e recursos confidenciais, mas resulta em uma experiência de usuário mais insatisfatória, pois os usuários precisam fornecer informações de login adicionais, como um código numérico enviado por SMS.
Embora o OTP possa ser um pouco mais seguro do que as notificações por push, ele degrada a experiência do usuário. As empresas devem ter cuidado para encontrar o equilíbrio certo entre usabilidade e segurança.
O que as empresas podem fazer contra ataques de bombardeio imediatos da MFA
Em vez de mudar para OTP, é melhor negar automaticamente as notificações push MFA quando um determinado número de notificações é excedido. Assim, no caso de um ataque, um usuário final receberá apenas algumas notificações de MFA, enquanto a equipe de segurança será alertada sobre a enxurrada de solicitações de MFA nos logs de atividade do usuário nos bastidores.
Quando se trata de encontrar o nível certo de segurança e facilidade de uso para proteção MFA, as notificações por push ainda são a solução recomendada. No entanto, eles devem ser implementados com as medidas de segurança corretas.
Proteção de identidade abrangente
Para garantir uma proteção de identidade abrangente, implemente uma plataforma de proteção contra ameaças de identidade criada especificamente para prevenção, detecção e resposta em tempo real a ataques baseados em identidade que fazem uso indevido de credenciais comprometidas para obter acesso a recursos direcionados. Essa solução de proteção contra ameaças à identidade evita ataques baseados em identidade por meio de monitoramento contínuo, análise de risco e aplicação em tempo real de políticas de acesso Zero Trust para cada usuário, sistema e ambiente no local e na nuvem. A tecnologia garante proteção MFA de ponta a ponta e monitoramento contínuo de todas as autenticações no local e na nuvem.
Para fornecer proteção dedicada contra ataques de bombardeio de prompt de MFA, a tecnologia permite o bloqueio adaptável: após um certo número de solicitações de MFA rejeitadas em um curto período de tempo, o usuário não é mais solicitado e as solicitações são rejeitadas automaticamente.
Proteger políticas baseadas em risco
Além disso, podem ser criadas políticas baseadas em risco que detectam e evitam riscos anormais de atividade de MFA, como quando os usuários recebem um número incomum de solicitações em um curto período de tempo. Isso permite que os administradores garantam que usuários não autorizados sejam impedidos de acessar os recursos da empresa.
Além disso, esta solução permite a identificação automática de atividades maliciosas e riscos de todas as solicitações de autenticação do usuário e fornece informações detalhadas sobre cada solicitação MFA negada. Os administradores podem monitorar todas as solicitações de acesso por meio de relatórios diários ou encaminhando eventos syslog para seu SIEM.
Ataques de engenharia social, como MFA Prompt Bombing, tentam especificamente explorar as fraquezas humanas. Portanto, além dos cuidados técnicos de segurança, os funcionários devem sempre receber informações abrangentes para que estejam preparados para esse tipo de ataque. Com as medidas acima, as empresas podem fortalecer sua resiliência contra ataques de bombardeio imediatos e tornar significativamente mais difícil para os invasores contornar a proteção MFA.
Mais em SilverFort.com
Sobre Silverfort O Silverfort fornece a primeira plataforma unificada de proteção de identidade que consolida os controles de segurança IAM em redes corporativas e ambientes de nuvem para mitigar ataques baseados em identidade. Usando tecnologia inovadora sem agente e sem proxy, Silverfort integra-se perfeitamente com todas as soluções IAM, unificando sua análise de risco e controles de segurança e estendendo sua cobertura a ativos que anteriormente não podiam ser protegidos, como aplicativos legados e domésticos, infraestrutura de TI, sistemas de arquivos, linha de comando ferramentas, acesso máquina a máquina e muito mais.