A autenticação multifator (MFA) foi projetada para aumentar a segurança exigindo um segundo fator, mesmo que as credenciais da conta fossem comprometidas. No entanto, atacantes agora estão contornando essa proteção manipulando usuários para aprovar solicitações de login maliciosas através de uma técnica conhecida como MFA prompt bombing. Organizações que utilizam MFA baseada em push são particularmente vulneráveis. Ferramentas como **Specops Secure Access** são projetadas para mitigar essa ameaça. Vamos examinar como essa técnica funciona. ## Como Funciona o MFA Prompt Bombing Este ataque depende de três elementos-chave: * Credenciais de conta válidas, frequentemente obtidas de bancos de dados de senhas vazadas. * Um portal de login que utiliza MFA baseada em push, como uma VPN, **Microsoft 365**, **Okta** ou **Duo**. * Um alvo que recebe alertas para cada tentativa de login. Atacantes inundam o alvo com prompts de MFA, esperando que ele eventualmente aprove um, seja por engano ou por frustração. Essa tática é frequentemente combinada com chamadas de vishing (voice phishing), onde atacantes se passam por suporte de TI para engenharia social do alvo a aprovar a solicitação. O perigo reside no fato de que o atacante só precisa ter sucesso uma vez. Uma vez que um prompt é aprovado, o atacante ganha acesso como o usuário legítimo. Como o login parece legítimo, os sistemas de segurança provavelmente não gerarão um alerta. ## O Vazamento da **Cisco** O vazamento da **Cisco** em 2022 demonstra a eficácia dessa técnica. Um atacante, ligado ao grupo de ransomware **Yanluowang**, comprometeu a conta pessoal do **Google** de um funcionário da **Cisco**, obtendo acesso a credenciais armazenadas no navegador, incluindo sua senha VPN da **Cisco**. O atacante então iniciou prompts de MFA para o telefone do funcionário. Inicialmente sem sucesso, eles recorreram a chamadas de vishing, se passando por pessoal de suporte confiável com vários sotaques, persuadindo finalmente o funcionário a aprovar uma notificação push. Isso concedeu ao atacante acesso VPN como o funcionário. Eles então registraram seus próprios dispositivos para persistência de MFA, escalaram privilégios, acessaram servidores **Citrix** e controladores de domínio, e exfiltraram aproximadamente 2,8 GB de dados antes de serem detectados. O sucesso do prompt bombing contra a **Cisco**, uma empresa com uma postura de segurança robusta, ressalta seu perigo potencial. ## Por Que o Push MFA Não Elimina o Risco A MFA baseada em push apresenta um desafio porque os usuários têm informações limitadas ao aprovar ou negar um login. Eles carecem de detalhes claros sobre a origem da solicitação, o dispositivo em uso ou se eles iniciaram a tentativa de login. Embora gerenciável isoladamente, prompts repetidos podem levar os usuários a assumir um mau funcionamento do sistema em vez de reconhecer um ataque potencial. Combinada com uma chamada telefônica oportuna de um representante falso de suporte de TI, a situação se torna ainda mais complexa. O usuário, acreditando que está respondendo a uma solicitação legítima, inadvertidamente concede acesso a um atacante que já possui suas credenciais. ## 3 Maneiras de Prevenir o Prompt Bombing ### 1. Use Fatores de MFA Resistentes à Fadiga e ao Phishing Notificações push são a forma mais fraca de MFA. Fatores resistentes ao phishing, como chaves de segurança FIDO2 (**YubiKey**), tokens de hardware ou códigos de correspondência de números de aplicativos autenticadores, são mais difíceis de explorar. **Specops Secure Access** suporta mais de 15 provedores de identidade e oferece opções resistentes à fadiga para logon do Windows, RDP e conexões VPN, permitindo que as organizações substituam o MFA apenas por push para pontos de acesso de alto risco.  ### 2. Bloqueie Senhas Comprometidas na Origem O prompt bombing depende de atacantes possuírem senhas válidas. Escanear continuamente o **Active Directory (AD)** contra um banco de dados ao vivo de senhas vazadas e forçar redefinições quando correspondências são encontradas elimina a base para o ataque. Políticas de senha padrão do AD são insuficientes para detectar senhas reutilizadas, incrementais ou vazadas. **Specops Password Auditor** fornece um scan gratuito e somente leitura do seu AD, identificando vulnerabilidades como senhas comprometidas ou contas de administrador inativas.  ### 3. Adicione Sinais de Risco ao Login Políticas de acesso condicional, considerando fatores como geografia, postura do dispositivo e horários de login, podem bloquear ou exigir autenticação adicional antes que um prompt seja enviado ao usuário. Isso reduz a dependência do comportamento do usuário e introduz contexto em tempo real para impedir que logins suspeitos resultem em comprometimento da conta. ## MFA Ainda Importa O MFA prompt bombing não invalida a MFA, mas destaca as limitações de certos fatores. Quando as solicitações de aprovação podem ser acionadas repetidamente sem contexto, o controle se torna vulnerável à manipulação. Se notificações push são seu segundo fator padrão, reconsidere essa decisão. Correspondência de números ou métodos resistentes a phishing aprimoram a MFA, enquanto o escaneamento de senhas comprometidas reduz o risco de atacantes obterem acesso inicial. Explore soluções de MFA mais robustas para fortalecer sua segurança de identidade.