Em vista das inúmeras ameaças cibernéticas, a autenticação multifator (MFA) é uma aliada na segurança de dados no ambiente virtual. Embora seja uma ótima maneira de garantir a certificação para acesso às informações dentro de uma rede ou sistema, existem vulnerabilidades e pontos cegos do MFA que facilitam e permitem a ocorrência de ataques hackers.
Para entender a dimensão dessas falhas, um relatório de mercado sobre atividades criminosas online no Brasil aponta que, somente no ano de 2020, cerca de 397,42 milhões de credenciais foram expostas. O levantamento acendeu o alerta para o setor de tecnologia em relação aos ciberataques, já que agora não se limitam apenas às grandes corporações.
Desse modo, apesar do mecanismo de autenticação MFA reduzir os riscos de invasões, ainda estão suscetíveis à ciberataques por meio dos pontos cegos do MFA, assim como no recurso de autenticação de fator único, onde há algumas falhas de segurança.
O que é autenticação multifator (MFA)?
Autenticação é o nome dado para o processo de certificação de acesso a uma conta on-line. Sendo assim, basicamente, é o método utilizado para provar que você é o proprietário da conta e que, após comprovar por meio de dois ou mais fatores, há a liberação de acesso.
Não bastando apenas a solicitação de um nome de usuário e senha, esse mecanismo exige outros elementos que compõem a verificação adicional, condição essa que diminui a probabilidade de ataques hackers.
Atualmente, existem três métodos de autenticação multifatorial baseada em dados extras, sendo eles:
1. Método de Conhecimentos
Geralmente pede informações como senhas, PINs, respostas de perguntas de segurança pessoal ou OTPs de conhecimento.
2. Método de Posse
Normalmente envolve outros sistemas, plataformas ou itens, como OTPs geradas por aplicativo, mensagem de texto ou e-mail. Além disso, também podem ser realizas por dispositivos USB, cartões inteligentes, certificados digitais e chaves de segurança.
3. Método de Inerência
Recursos associados ao usuário diretamente, como biometria, reconhecimento facial, análise comportamental ou digitalização da voz, por exemplo.
Embora seja um mecanismo altamente confiável e de extrema importância para assegurar, principalmente, os ativos digitais de uma organização, existem pontos cegos do MFA que podem permitir invasões às contas e exposição dos dados, causando prejuízos irreparáveis.
Quais os principais pontos cegos do MFA?
Devido à baixa resistência do método de autenticação de fator único em não garantir a segurança necessária e ter viabilizado inúmeros ataques cibernéticos, sendo até mesmo listada pela Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos como umas práticas de segurança cibernética “excepcionalmente arriscada”, permitiu-se que invasores desenvolvessem novas estratégias para realizar os crimes virtuais.
Desse modo, apesar de toda a tecnologia envolvida, a autenticação multifator pode ser vulnerável a alguns tipos de ataques. Assim, veja quais são os pontos cegos do MFA mais comuns e como repará-los.
Autenticação falsa
Considerado um dos métodos mais difíceis de serem revertidos, a técnica consiste em promover um site falso, semelhante ao legítimo, com o intuito de que o usuário informa os dados de acesso.
Durante esse processo, o site simula de maneira idêntica as ações de autenticação e, finalmente, solicita alterações cadastrais, como senhas ou informações de um cartão de crédito, por exemplo.
Com isso, as informações inseridas são armazenadas e utilizadas para a realização de ataques cibernéticos e uso indevido de métodos de pagamento da vítima.
Ataques Man-in-the-End Point
Esse tipo de ataque consiste em infectar o dispositivo com um malware e, a partir dessa invasão, monitorar as atividades do navegador. Por meio de software desatualizado ou engenharia social, por exemplo, esses vírus conseguem acessar computadores e smartphones e visualizar as informações.
Logo, um simples acesso ao internet banking pode ser determinante para que os hackers consigam movimentar a conta bancária, mediante uma sessão oculta no navegador.
Ataques Man-in-the-Middle
De forma semelhante ao método de autenticação falsa, esses ataques utilizam um site proxy falso para desviar a MFA antes de redirecionar o usuário ao site legítimo.
Sendo assim, a prática se resume em direcionar a pessoa para um endereço que, aparentemente é real, mas durante esse processo são solicitadas informações de credencial. Ao inserir os dados de acesso, o mecanismo registra o login e os códigos de autenticação multifator.
Bugs no MFA
Como toda autenticação envolve programação, existe uma pequena chance de ocorrer bugs nesses sistemas e, assim, proporcionar momentos de vulnerabilidade que geram oportunidade para que hackers possam se aproveitar.
Diante disso, muitas dessas falhas já foram publicadas e reparadas, porém novos erros podem surgir e permitir invasões.
Ataques a partir de OTP
Como forma de autenticação multifator, os tokens-Time-Password (OTP) enviam códigos atualizados com frequência e em um curto período. Esses dígitos são utilizados para finalizar o login de um usuário em determinada rede ou sistema, garantindo assim mais segurança no momento de comprovar a identidade de quem está acessando.
No entanto, invasores podem conseguir acessar o banco de dados onde essas “senhas” são armazenadas e facilmente obter as credenciais da vítima. O processo ocorre à medida em que os códigos são digitados e registrados no dispositivo ou em um site proxy falso.
Como evitar a existência de pontos cegos do MFA em sua empresa
A princípio, existem diversas maneiras de impedir que ataques cibernéticos aconteçam via MFA, com treinamento para os colaboradores em relação a essas ameaças, bloqueio de links não autorizados em toda a rede e investimento em soluções tecnológicas de segurança.
É possível também contar com empresas especializadas em segurança cibernética, com recursos inovadores, ferramentas de combate e prevenção aos ciberataques, assim sua organização terá a segurança necessária para manter suas informações preservadas.
*Por Waldo Gomes, Diretor de Marketing e Relacionamento da NetSafe Corp.
