Já se passaram quase 20 anos desde que Bill Gates previu o fim das senhas. No entanto, 70% das organizações em todo o mundo continuam confiando em senhas para autenticação hoje. Idealmente, com o surgimento de tecnologias como logon único (SSO) e autenticação multifator (MFA) e filosofias como Zero Trust, as senhas já deveriam estar extintas.
Então, qual é o problema?
De acordo com John Tolbert, analista líder da Kuppinger Cole, isso ocorre porque a segurança cibernética não é uma prioridade tão alta em certas organizações. As razões para isso podem ser a falta de orçamento de segurança cibernética, sistemas legados incompatíveis com o software IAM da nova era ou a relutância dos usuários em mudar para outras medidas.
Em vez de uma medida sem senha, que ele considera um pouco exagerada por enquanto, ele pede às organizações que considerem um protocolo com menos senhas, como o MFA. Por menos senhas, ele quer dizer que, embora a MFA ainda use uma senha como um de seus fatores de autenticação, ela não é a única medida em vigor.
Embora Tolbert não esteja errado, a MFA pode não ser o colete à prova de balas que protege contra todos os ataques. É verdade que a MFA ajuda a bloquear 99,9% dos ataques automatizados, mas isso nem sempre será verdade no futuro. A história prova que nenhuma medida de segurança cibernética é infalível, nem a MFA. Existem várias maneiras pelas quais os invasores podem ignorar o protocolo com êxito. Aqui estão cinco exemplos.
5 ataques que ultrapassam a MFA
1. Ataques de troca de SIM: se um usuário perder o telefone, ele poderá obter um cartão SIM substituto com o mesmo número. Mas antes de obter um novo SIM, há um processo de verificação em que o provedor autentica o usuário verificando algumas de suas informações pessoais, como seu SSN. O manuseio negligente desse processo pode levar um cibercriminoso a imitar facilmente o usuário e obter acesso ao telefone. Se eles já obtiveram as credenciais do usuário por meio de uma violação de dados e agora também têm acesso ao telefone, é fácil penetrar na MFA, onde o segundo nível de defesa é a autenticação baseada em dispositivos móveis.
2. Ataques baseados em SMS: apesar de muitos especialistas aconselharem contra as medidas de autenticação baseadas em SMS, eles continuam sendo uma escolha popular para MFA porque são fáceis de usar, não exigem muito conhecimento técnico do lado do usuário e envolvem implantação mínima de token. Um ataque baseado em SMS pode ser o resultado de uma troca de SIM ou interceptação da rede SS7. O protocolo SS7 é uma escolha comum entre a maioria dos provedores de rede e é facilmente explorável devido a várias de suas falhas de segurança. Um invasor pode interromper essa rede, interceptar mensagens enviadas via SS7 e usá-lo para fazer login em um sistema ou aplicativo que siga um método de verificação MFA baseado em SMS.
3. Ataques de passagem de cookies: sempre que um usuário faz login em um site usando MFA, o site armazena isso como um cookie criptografado. Em um ataque de passagem do cookie, os cibercriminosos comprometem o sistema por meio de um ataque cibernético e, em seguida, tentam recuperar o banco de dados de cookies offline do navegador da web. Depois de recuperar o cookie, eles o descriptografam usando software de código aberto como o Mimikatz e o carregam em seu navegador da web. Durante a autenticação, quando o servidor solicita o cookie, ele é apresentado com o cookie de autenticação da vítima e o MFA é ignorado até que a sessão de login termine. Ao contrário de outros métodos em que o invasor deve conhecer credenciais como nome de usuário ou senha para passar pelo primeiro nível de verificação, aqui tudo o que eles precisam fazer é invadir o sistema do usuário para começar – e pronto, acabou o biscoito.
4. Ataques de gerador de código duplicado: Lidar com senhas de uso único (OTPs) tornou-se uma prática rotineira e, surpresa, surpresa, é um método popular de MFA. Quando você escolhe receber uma OTP e ela é exibida, por exemplo, no aplicativo autenticador do Google, um valor de semente único é trocado entre o aplicativo e o serviço que está sendo acessado pelo usuário. Um valor de semente é um código secreto gerado aleatoriamente armazenado em bancos de dados SQL que podem ser facilmente acessados por invasores, que podem criar um gerador de código duplicado para cada usuário. Acontece que aplicativos gratuitos para realizar essa tarefa maliciosa estão disponíveis online há mais de 20 anos.
5. Ataques man-in-the-endpoint: Um bom exemplo de ataque man-in-the-endpoint é um Trojan de acesso remoto, como Bancos. Quando um agente mal-intencionado consegue comprometer o sistema, ele pode instalar o Trojan que monitorará a atividade do usuário. Agora, suponha que o usuário faça login em sua conta bancária. Depois que o usuário passar pela MFA, o software malicioso executará uma sessão oculta do navegador em segundo plano. O mau ator usará isso para transferir dinheiro da conta bancária do usuário para a conta do mau ator. É chamado de ataque man-in-the-endpoint porque o invasor precisa obter acesso ao sistema da vítima para executá-lo. Se você ainda não adivinhou, os ataques pass-the-cookie, que discutimos anteriormente, também foram iniciados por um ataque man-in-the-endpoint.
Então, aí está, cinco maneiras pelas quais os cibercriminosos podem quebrar com sucesso o protocolo MFA.
Para acompanhar um mundo que caminha para um futuro sem senha, você precisa:
-
Certificar-se de ter o MFA mais eficaz em vigor.
-
Considerar os mecanismos de defesa que vão além do MFA.
-
Estar preparado para detectar todos os sinais indicadores de ataque que possam surgir após ignorar a MFA.
Faça isso com facilidade por meio de uma solução SIEM unificada como o Log360 da ManageEngine. Entre em contato com nossos especialistas em produtos para uma demonstração ao vivo gratuita para saber mais ou explore por conta própria baixando uma avaliação gratuita de 30 dias.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Anupama. A.