Hackers que invadiram ConecteSUS usam truque antigo para driblar autenticação
MFA bombing ataca usuário de forma insistente até ele aceitar solicitação e entregar acesso para hackers; técnica foi adotada pelo Lapsus$
MFA bombing ataca usuário de forma insistente até ele aceitar solicitação e entregar acesso para hackers; técnica foi adotada pelo Lapsus$
Os recentes ataques hackers a governos e empresas deixam muitas perguntas no ar. Afinal, como eles conseguem? Uma técnica chamada MFA bombing aparentemente é parte da estratégia. Ela não é nova, mas vem sendo usada por grupos como o Lapsus$, que estaria por trás das ações contra o ConecteSUS, a Microsoft e a Nvidia. O truque explora fraquezas dos usuários para conseguir autorização e entrar nos sistemas.
MFA é a sigla para multi-factor authentication, ou autenticação multifator. Este é o nome dado à proteção extra que alguns serviços e sistemas oferecem.
Ela parecida com a autenticação por dois fatores ou verificação em duas etapas, mas pode ir além e exigir três ou mais passos.
Assim, não basta saber usuário e senha — é preciso de no mínimo um fator extra para entrar.
Esse fator pode ser um SMS com uma senha, um código gerado por um aplicativo como o Google Authenticator, uma notificação para o usuário autorizar, uma verificação biométrica de digital ou face ou uma chave física.
Uma frase muito repetida em segurança da informação é que o usuário é o elo mais fraco de qualquer sistema. E ele é justamente o alvo do MFA bombing.
O MFA bombing foca na notificação. A ideia é, como o nome sugere, bombardear o usuário com solicitações até ele aceitar.
Os hackers escolhem até mesmo horários em que ele pode estar mais vulnerável — por exemplo, mandar centenas de pedidos de madrugada, quando a pessoa está com sono e querendo dormir.
Segundo o Ars Technica, existem jeitos mais sutis. Um deles é mandar uma ou duas solicitações por dia. Isso chama menos a atenção, mas ainda tem uma boa chance de fazer o usuário aceitar.
Outro é ligar para o alvo e se passar pela empresa dizendo que o funcionário precisa autorizar o pedido.
Uma das fontes ouvidas pela reportagem do Ars Technica diz que os hackers do Lapsus$ vêm usando a técnica com bastante sucesso.
No entanto, não foram eles que inventaram o método e não devem levar os créditos por ele, que já existe há cerca de dois anos.
O grupo já atacou a Microsoft, a Nvidia e o ConecteSUS.
Como você deve saber, nada nesta vida é 100% seguro, e isso inclui a autenticação multifator.
Existe um padrão mais seguro chamado FIDO2. Ele foi criado por um consórcio de empresas e tem como objetivo equilibrar segurança e facilidade de uso.
Uma das diferenças é que ele é atrelado à máquina que alguém está usando para acessar um sistema. Por isso, não dá para usar um aparelho para autorizar outro.
O FIDO2 é relativamente novo e, por isso, foi adotado por poucas empresas.
Se as empresas ainda permitem formas menos seguras de autenticação junto com o novo padrão, isso se torna por si só um ponto de vulnerabilidade.
Mesmo assim, alguns grupos hackers já foram capazes de dar um jeitinho e invadir sistemas que oferecem apenas MFA no padrão FIDO2.
O grupo hacker russo Nobelium, responsável pelo ataque à SolarWinds, conseguiu driblar a autenticação. Não foi fácil: eles precisaram comprometer o Active Directory, ferramenta de banco de dados altamente protegida.
O Active Directory é usada por administradores de rede para criar, deletar ou modificar contas de usuários, além de dar os privilégios necessários para acessar alguns recursos. Se ele é hackeado, não tem o que salve.
É bom ressaltar que qualquer autenticação em dois fatores, por pior que seja, é melhor que nada.
Senhas enviadas por SMS são extremamente falhas e problemáticas, principalmente quando se considera golpes de SIM swap.
No entanto, se essa for a única opção disponível, não pense duas vezes: use-a.
Mesmo assim, fica o alerta. Não basta apenas ter autenticação multifator — é preciso que todos na empresa saibam como usá-la e que riscos estão correndo.
Com informações: Ars Technica.