A recente invasão da Uber trouxe à tona uma tática de ataque contra usuários finais que tem se popularizado, o chamado...
A "fadiga de MFA" (ou, como é conhecido em inglês, "MFA Fatigue"). é um ataque de engenharia social criado para burlar os controles de segunda autenticação (ou múltiplos fatores de autenticação) que estão cada vez mais comuns nas empresas. Nesse ataque, o criminoso já sabe o usuário e senha, mas tem que passar pelo controle do MFA (qualquer que seja a ferramenta de Multi-Factor Authentication usada na empresa). Então, o atacante tenta fazer login repetidamente com a credencial comprometida, gerando um grande volume de solicitações de autenticação por MFA - que é enviado para o dispositivo móvel do proprietário da conta. Isso é muito fácil de fazer se a vítimas possui o MFA com o app Authenticator da Microsoft e a autenticação é feita via push no app. O objetivo é enviar um volume grande de solicitações de autenticação até que o usuário final acabe clicando na opção de aprovar o login fraudulento ou, como no caso da Uber, seja contatado pelo fraudador fazendo se passar pelo suporte técnico da empresa, afirmando que há um problema na plataforma.
Esse vídeo curto, da empresa Reformed IT e compartilhado pelo portal CISO Advisor e pela Bleeping Computer ilustra como o ataque funciona:
O caso da Uber foi emblemático... Em Setembro deste ano a Uber descobriu que sua rede de computadores foi invadida, levando a empresa a colocar vários de seus sistemas internos de comunicação e engenharia offline enquanto investigava a extensão do ciber ataque.
A pessoa que assumiu publicamente a responsabilidade pelo ataque, possivelmente um integrante do grupo Lapsus$, enviou imagens de e-mail, armazenamento em nuvem e repositórios de código da empresa.
Segundo relatos, a invasão aconteceu graças ao envio de uma mensagem de texto para um funcionário do Uber alegando ser um profissional de tecnologia da informação corporativa. Assim, o trabalhador foi persuadido a entregar uma senha que permitiu ao atacante ter acesso aos sistemas da Uber. Após comprometer a conta o funcionário, o hacker utilizou o aplicativo de mensagens Slack para enviar uma mensagem aos funcionários da empresa anunciando a invasão e acessou a conta da empresa no portal da HackerOne para anunciar publicamente a invasão, nos relatórios de vulnerabilidades existentes.
Em um ataque recente a Dropbox, mais uma vez o segundo fator de autenticação foi comprometido. O atacante conseguiu acessar os repositórios depois de enviar e-mails de Phishing aos funcionários do DropBox, supostamente originários da plataforma de desenvolvimento de software CircleCl. Os e-mails direcionavam os desenvolvedores para uma página de login maliciosa que imitava uma página de login legítima do CircleCl. A página solicitava as credenciais do GitHub, incluindo a senha única gerada usando uma chave de autenticação por hardware.
- MFA Fatigue | Já ouviu falar nisso?
- MFA Fatigue: nova tática é usada em violações de alto perfil
- MFA Fatigue: Hackers’ new favorite tactic in high-profile breaches
- Uber hacked, internal systems breached and vulnerability reports stolen
- Dropbox Data Breach Another Multifactor Fail
- Aqui no Blog: O grupo Lapsus$
Nenhum comentário:
Postar um comentário