Criminosos descobriram uma forma de burlar a autenticação em dois fatores que usa notificações push. O ataque funciona enviando dezenas de solicitações de login para cansar a vítima até que ela aceite por engano. A técnica já foi usada com sucesso contra empresas de tecnologia, como a Cisco, em 2022.
O ataque precisa de três elementos para funcionar. Primeiro, o criminoso obtém a senha real da vítima em vazamentos de dados disponíveis na dark web. Depois, ele tenta fazer login repetidamente em serviços como VPN, Microsoft 365 ou Okta. Cada tentativa envia uma notificação push para o celular da vítima pedindo aprovação.
O objetivo é cansar a pessoa com notificações constantes. Basicamente, o criminoso espera que a vítima aprove sem prestar atenção ou que pense que é um erro do sistema. Em alguns casos, os atacantes ligam para a vítima se passando por equipe de TI para convencê-la a aceitar a notificação.
Caso Cisco mostra eficácia da técnica
O ataque funcionou até contra a Cisco, empresa de segurança digital. Em 2022, criminosos ligados ao ransomware Yanluowang conseguiram a senha de VPN de um funcionário através da conta pessoal do Google dele, enquanto o navegador sincronizava senhas salvas.
Os atacantes começaram a enviar notificações push para o celular do funcionário, as quais ele recusou inicialmente. Então os criminosos ligaram se passando por suporte técnico e convenceram o funcionário a aceitar uma notificação.
Depois que o funcionário aprovou, os criminosos entraram na VPN com as credenciais dele. Eles registraram seus próprios dispositivos no sistema de autenticação para manter o acesso. Conseguiram privilégios administrativos e roubaram cerca de 2,8 GB de dados antes de serem descobertos.
Por que notificações push são vulneráveis
O problema das notificações push é que elas não mostram contexto suficiente. A vítima não vê de onde vem a solicitação, qual dispositivo está tentando entrar ou se ela mesma iniciou o login.
Quando várias notificações chegam seguidas, é fácil pensar que é um problema técnico. Se isso acontece junto com uma ligação de alguém fingindo ser do suporte, fica ainda mais difícil identificar o ataque. A vítima acaba respondendo a uma situação que parece normal e legítima.
Como se proteger contra o ataque
Especialistas recomendam três medidas principais. A primeira é trocar notificações push por métodos mais seguros de segundo fator. Chaves de segurança FIDO2, tokens físicos como YubiKey ou códigos numéricos de aplicativos autenticadores são mais difíceis de enganar.
A segunda medida é bloquear senhas vazadas na origem, já que o ataque só funciona quando o criminoso já tem a senha correta. Ferramentas que escaneiam continuamente o Diretório Ativo contra bancos de dados de senhas vazadas podem forçar a troca antes que sejam usadas.
A terceira é adicionar sinais de contexto ao login. Políticas de acesso condicional que analisam localização geográfica, dispositivo usado e horário de login podem bloquear tentativas suspeitas antes mesmo de enviar a notificação para o celular da vítima.
O bombardeio de notificações não significa que a autenticação em dois fatores deve ser abandonada. O problema está especificamente nas notificações push, que podem ser influenciadas com engenharia social.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.