top of page

MFA: Ataques por Push.


A autenticação por push é uma das formas de autenticação mais fáceis de usar. Muitas organizações implementam a MFA com a autenticação por push para proteger seus usuários. O processo é simples: após o envio de login e senha, o usuário recebe uma notificação em um dispositivo móvel cadastrado para aprovar o acesso, devendo tocar em "aprovar" ou "negar" (ou "sim" ou "não" ou alguma variação desses termos).



Os ataques por push (também chamados de ataques de notificação por push , ataques de fadiga por push e bombardeio de prompt de MFA) são usados ​​por invasores como uma forma de passar pela MFA de autenticação por push . O invasor geralmente já possui um nome de usuário e senha válidos. Afinal, com mais de 15 bilhões de senhas roubadas disponíveis na dark web , isso é trivial. O invasor envia spams às suas possíveis vítimas com notificações para autenticação até que uma delas aprove a solicitação. Quando implantado em grande escala usando ferramentas de ataque automatizadas, mesmo uma taxa de sucesso de 3% é significativa.

O método é considerado extremamente vantajoso pelos invasores pois eles atuam sobre o seguinte cenário: O que acontece quando um usuário está ocupado, imerso em seu trabalho, e recebe uma notificação em seu dispositivo móvel para aprovar?


  • O usuário sempre lê a notificação?

  • Qual é a probabilidade de um usuário aprovar casualmente uma notificação por Push apenas por hábito ou para continuar suas tarefas do dia?

  • Um usuário menos experiente tocaria em “Aprovar” em seu aplicativo móvel, mesmo que fosse uma notificação por Push falsa?

Os ataques por Push utilizam os seguintes fatores de vulnerabilidade:

  • Conhecimento – os ataques por Push se aproveitam principalmente da falta de conhecimento sobre o assunto por parte dos usuários. A maioria das organizações têm concentrado seus esforços e investimentos em educação de segurança para proteger os seus usuários e funcionários de serem vítimas de ataques mais tradicionais, como o phishing . Ainda vai demorar um tempo que o ataque por Push faça parte do vocabulário diário dos usuários.

  • Familiaridade - as aprovações baseadas em Push geralmente são introduzidas por uma organização junto com um aplicativo MFA, como uma forma de aumentar a segurança do serviço. Isso leva o usuário a associar a ação de aprovar uma solicitação a um recurso de segurança. Diante disso, é compreensível que a grande maioria das pessoas não suspeitem dos riscos vinculados a essa funcionalidade.

  • Sobrecarga cognitiva – Em função de grande quantidade de alertas relativos a e-mails , SMS, eventos da agenda, mensagens de whatsapp, etc., os dispositivos ficam sobrecarregados de notificações. Simplesmente há muita informação para processar – e os invasores tiram proveito dessa sobrecarga pois entendem que vários usuários que recebem dezenas ou mesmo centenas de notificações por dia provavelmente não pensarão muito sobre elas. A probabilidade de uma única aprovação de login fraudulenta ser ignorada ou aprovada por acidente é baixa, mas em escala torna-se um vetor de ataque muito promissor.

  • Ataques man-in-the-middle – assim como ocorre no ataque ao SMS, o invasor também pode enviar as credenciais de diversos usuários para o serviço desejado e apenas esperar que um usuário aprove a solicitação de login.

O maior problema reside no fato de que muitos usuários estão propensos a aprovar uma notificação por PUSH sem sequer ler seu conteúdo, pois essas notificações tornaram-se tão numerosas que as pessoas muitas vezes as aprovam apressadamente - sem saber ou entender as repercussões que isso pode ter.


Textos: João Alberto Muniz Gaspar

Produção: Secretaria de Segurança da Informação e Cibernética


0 visualização0 comentário

Posts recentes

Ver tudo

Comments


bottom of page