Criminosos estão utilizando um método inovador para contornar a autenticação em dois fatores, que envolve o envio excessivo de notificações a vítimas, com o objetivo de obter acesso a contas corporativas. Essa estratégia combina senhas vazadas, engenharia social e cansaço psicológico, facilitando a violação de sistemas de segurança.
Esse ataque é constituído por três etapas principais. Inicialmente, o criminoso obtém a senha da vítima a partir de informações disponíveis na dark web. Em seguida, ele tenta entrar repetidamente em serviços como VPN, Microsoft 365 ou Okta, gerando uma série de notificações de login ao celular da vítima.
O objetivo é cansar a pessoa com notificações incessantes, levando-a a aprovar um login sem prestar atenção ou pensando se tratar de um erro do sistema. Em certos casos, atacantes se apresentam como membros da equipe de TI em ligações telefônicas, na tentativa de persuadir a vítima a aceitar a notificação.
Um caso notável ocorreu em 2022, envolvendo a Cisco, uma renomada empresa de segurança digital. Os criminosos conseguiram a senha de um funcionário através de sua conta pessoal do Google, que continha senhas salvas. A partir daí, começaram a bombardear o celular do empregado com notificações, que ele ignorou inicialmente. Entretanto, após uma ligação se passando por suporte técnico, conseguiram convencê-lo a aprovar uma das notificações.
Uma vez que a vítima cedeu, os criminosos tiveram acesso à VPN e registraram seus próprios dispositivos no sistema, obtendo privilégios administrativos e roubando aproximadamente 2,8 GB de dados antes de serem detectados.
As notificações push se tornam vulneráveis, pois não fornecem contexto suficiente: a vítima não consegue identificar a origem da solicitação ou o dispositivo tentando acesso. Quando elas chegam em sequência, é comum que a pessoa pense tratar-se de um problema técnico. A situação se complica quando surge a interação telefônica com alguém fingindo ser da assistência técnica.
Para se proteger contra tais ataques, especialistas sugerem três medidas principais. A primeira é substituir as notificações push por métodos mais seguros de autenticação em dois fatores, como chaves de segurança FIDO2 ou tokens físicos, que são mais difíceis de serem manipulados.
A segunda recomendação é monitorar e bloquear senhas vazadas desde a origem, pois o ataque depende da posse da senha correta. Ferramentas que escaneiam periodicamente o ambiente em busca de vazamentos podem forçar a troca de senhas antes que elas sejam utilizadas de forma maliciosa.
Por fim, a terceira medida envolve a implementação de sinais de contexto no login, como análise da localização geográfica, do dispositivo utilizado e do horário da tentativa de acesso, que podem ajudar a identificar e bloquear tentativas suspeitas antes mesmo de enviar notificações à vítima.
Esse tipo de bombardeio não indica que a autenticação em dois fatores deva ser descontinuada; o problema reside especificamente nas notificações push, suscetíveis a manipulações por engenharia social.