Ataques com roubo de tokens ultrapassam autenticação em duas etapas
Quem considera a autenticação em duas etapas como a fronteira final da estratégia de segurança digital pode ter de pensar de novo. A Microsoft está alertando para o crescimento considerável em golpes capazes de ultrapassar essa barreira de proteção, com o comprometimento de tokens de verificação permitindo que criminosos tenham acesso até mesmo aos sistemas que utilizam essa funcionalidade.
De acordo com a empresa, os golpes que vem sendo observados nem mesmo são sofisticados, exigindo pouco conhecimento técnico, enquanto geram desafios de detecção para sistemas de segurança. Basicamente, em vez de focarem apenas nas credenciais durante o comprometimento de um dispositivo ou rede, os atacantes também buscam tokens de autenticação que, mais tarde, são apresentados aos sistemas-alvo para que eles se passem pelas vítimas.
A questão é inerente ao próprio funcionamento da autenticação em duas etapas, que após garantir o acesso de um usuário legítimo ao sistema, armazena um token para que não seja necessário digitar todas as senhas a cada acesso. Enquanto isso, aponta a Microsoft, poucas organizações possuem sistemas de defesa contra esse tipo de furto, assumindo que a presença do dado é sinal de que a verificação deu certo, pura e simplesmente.
Um token de autenticação pode ser obtido de diferentes formas, desde a partir de comprometimentos diretos por meio de ataques de phishing ou golpes envolvendo intermediários em conexões públicas, os chamados man-in-the-middle. Além disso, a Microsoft alerta para intrusões do tipo “pass-a-cookie”, em que as informações de navegadores são roubadas e implantadas em outro, sob o controle dos criminosos, para acesso a serviços logados.
O alerta representa uma mudança de postura e, também, um sinal da evolução do cibercrime. Em 2019, por exemplo, a própria Microsoft afirmava não ter números concretos de ataques envolvendo a ultrapassagem de autenticação em duas etapas; agora, porém, a companhia apresenta um conjunto de dicas para que as corporações se protejam de golpes desse tipo.
Como evitar ataques contra verificação em duas etapas?
Adotar medidas de verificação e contenção é o melhor caminho, de acordo com a empresa. Reduzir o tempo das sessões faz com que a autenticação seja necessária, também baixando a janela que os criminosos possuem para explorar um sistema comprometido, enquanto o uso de ferramentas de acesso condicional ajuda a separar logins legítimos daqueles fraudulentos.
Uma abordagem de confiança zero também auxilia, com verificações constantes sobre todos os aspectos de uma sessão ativa, como localização, dispositivo, utilização e recursos acessados. A Microsoft também recomenda a adoção de verificação biométrica e o uso de chaves físicas para acesso, de acordo com a criticidade dos sistemas, além de certificados, tudo para garantir que quem está do outro lado da tela é, efetivamente, o usuário devido.
Por fim, a dica é segmentar o acesso, principalmente, de usuários com privilégios de administração, reduzindo a superfície de ataque em caso de comprometimento. Tais contas, também, não devem ser associadas a perfis de e-mail e devem ter senhas altamente complexas, bem como identidades e sistemas de verificação únicos para evitar intrusões.
Fonte: Canaltech