A autenticação por push é uma das formas de autenticação mais fáceis de usar. Muitas organizações implementam a MFA com a autenticação por push para proteger seus usuários. O processo é simples: após o envio de login e senha, o usuário recebe uma notificação em um dispositivo móvel cadastrado para aprovar o acesso, devendo tocar em "aprovar" ou "negar" (ou "sim" ou "não" ou alguma variação desses termos).
Os ataques por push (também chamados de ataques de notificação por push , ataques de fadiga por push e bombardeio de prompt de MFA) são usados por invasores como uma forma de passar pela MFA de autenticação por push . O invasor geralmente já possui um nome de usuário e senha válidos. Afinal, com mais de 15 bilhões de senhas roubadas disponíveis na dark web , isso é trivial. O invasor envia spams às suas possíveis vítimas com notificações para autenticação até que uma delas aprove a solicitação. Quando implantado em grande escala usando ferramentas de ataque automatizadas, mesmo uma taxa de sucesso de 3% é significativa.
O método é considerado extremamente vantajoso pelos invasores pois eles atuam sobre o seguinte cenário: O que acontece quando um usuário está ocupado, imerso em seu trabalho, e recebe uma notificação em seu dispositivo móvel para aprovar?
O usuário sempre lê a notificação?
Qual é a probabilidade de um usuário aprovar casualmente uma notificação por Push apenas por hábito ou para continuar suas tarefas do dia?
Um usuário menos experiente tocaria em “Aprovar” em seu aplicativo móvel, mesmo que fosse uma notificação por Push falsa?
Os ataques por Push utilizam os seguintes fatores de vulnerabilidade:
Conhecimento – os ataques por Push se aproveitam principalmente da falta de conhecimento sobre o assunto por parte dos usuários. A maioria das organizações têm concentrado seus esforços e investimentos em educação de segurança para proteger os seus usuários e funcionários de serem vítimas de ataques mais tradicionais, como o phishing . Ainda vai demorar um tempo que o ataque por Push faça parte do vocabulário diário dos usuários.
Familiaridade - as aprovações baseadas em Push geralmente são introduzidas por uma organização junto com um aplicativo MFA, como uma forma de aumentar a segurança do serviço. Isso leva o usuário a associar a ação de aprovar uma solicitação a um recurso de segurança. Diante disso, é compreensível que a grande maioria das pessoas não suspeitem dos riscos vinculados a essa funcionalidade.
Sobrecarga cognitiva – Em função de grande quantidade de alertas relativos a e-mails , SMS, eventos da agenda, mensagens de whatsapp, etc., os dispositivos ficam sobrecarregados de notificações. Simplesmente há muita informação para processar – e os invasores tiram proveito dessa sobrecarga pois entendem que vários usuários que recebem dezenas ou mesmo centenas de notificações por dia provavelmente não pensarão muito sobre elas. A probabilidade de uma única aprovação de login fraudulenta ser ignorada ou aprovada por acidente é baixa, mas em escala torna-se um vetor de ataque muito promissor.
Ataques man-in-the-middle – assim como ocorre no ataque ao SMS, o invasor também pode enviar as credenciais de diversos usuários para o serviço desejado e apenas esperar que um usuário aprove a solicitação de login.
O maior problema reside no fato de que muitos usuários estão propensos a aprovar uma notificação por PUSH sem sequer ler seu conteúdo, pois essas notificações tornaram-se tão numerosas que as pessoas muitas vezes as aprovam apressadamente - sem saber ou entender as repercussões que isso pode ter.
Textos: João Alberto Muniz Gaspar
Produção: Secretaria de Segurança da Informação e Cibernética
Comments