A autenticação de dois fatores (2FA) oferece uma camada extra de segurança, mas não é infalível. Sempre deixei claro nos artigos que escrevi para este blog que o usuário é responsável pelo conteúdo que acessa na internet e pelo comportamento de bom senso durante a navegação nas páginas web.
Mesmo contas protegidas por 2FA podem ser comprometidas através de diferentes métodos de ataque que exploram falhas específicas dos sistemas. Não se esqueça que os cibercriminosos estão sempre na sua frente nessa corrida de gato e rato.
Neste artigo, mostro as cinco maneiras mais populares para hackear a autenticação em dois passos, pois saber como o inimigo age é uma forma eficiente de se proteger dos ataques no futuro.
As vulnerabilidades do SMS
O SMS é considerado o método mais vulnerável de autenticação de dois fatores, e isso não é culpa das operadoras de telefonia ou incompetência do usuário.
A própria natureza do serviço resulta nessa maior fragilidade na proteção. Quando esse serviço foi concebido, não se pensava na possibilidade de ataques cibernéticos. Mesmo porque a internet nem existia direito quando o SMS nasceu.
As mensagens passam por centros de serviço que atuam como intermediários e podem ser atacados, permitindo que criminosos interceptem ou modifiquem os códigos de verificação.
Como o SMS não possui criptografia, qualquer pessoa com acesso ao centro de mensagens pode ler e alterar o conteúdo.
Os atacantes podem substituir códigos legítimos por links maliciosos, direcionando as vítimas para sites falsos.
Phishing direcionado contra 2FA
O phishing continua sendo eficaz mesmo contra contas com 2FA.
Quando a vítima insere suas credenciais em um site falso, o atacante usa esses dados para tentar acessar a conta real, capturando também o código de verificação quando a vítima o insere no site fraudulento.
Sites falsos podem imitar perfeitamente serviços legítimos, tornando difícil a identificação da fraude por parte dos usuários mais leigos.
A melhor proteção é sempre verificar a URL manualmente, acessar o serviço diretamente pelo aplicativo oficial e desconfiar de mensagens com erros ortográficos ou gramaticais.
Exploração de contas vinculadas
O sistema OAuth permite criar contas usando credenciais de outras plataformas como Google ou Facebook. Se a conta principal for comprometida, todas as contas vinculadas ficam em risco, criando um efeito dominó de vulnerabilidades.
Atacantes podem falsificar o processo de consentimento OAuth, enviando solicitações de phishing que levam a pedidos legítimos de permissão.
Se a vítima aprovar inadvertidamente, o atacante ganha acesso ignorando completamente o 2FA.
Bombardeio de notificações push
Alguns serviços usam notificações push para autenticação em novos dispositivos.
Criminosos com acesso ao e-mail e senha podem bombardear a vítima com múltiplas solicitações, esperando que uma seja aprovada por engano ou cansaço.
A proteção contra bombardeio de notificações exige atenção constante por parte do usuário para entregar resultados mais eficientes.
Aprove apenas solicitações que você reconhece e troque imediatamente a senha se detectar atividade suspeita, lembrando que o processo legítimo pode se confundir com as tentativas falsas.
Roubo de cookies de sessão
Cookies de login permitem que usuários permaneçam conectados sem inserir credenciais repetidamente.
Se esses cookies forem roubados através de malware ou ataques de rede, o atacante pode acessar a conta sem precisar das credenciais ou do segundo fator de autenticação.
A proteção mais eficaz contra roubo de cookies é fazer logout manual sempre que terminar de usar um serviço, especialmente em contas que contêm informações confidenciais ou financeiras.