O FBI alerta sobre a troca de SIM e ferramentas como Muraen e NecroBrowser.

Por 

fbi-mfa-warning.png

O FBI (Federal Bureau of Investigation) dos EUA enviou no mês passado um aviso de segurança a parceiros do setor privado sobre a crescente ameaça de ataques contra organizações e seus funcionários que podem ignorar as soluções de autenticação multifatorial (MFA).

“O FBI observou agentes cibernéticos contornando a autenticação multifator por meio de engenharia social e ataques técnicos comuns”, escreveu o FBI em um PIN (Notificação de Indústria Privada) enviado em 17 de setembro.

INCIDENTES ANTERIORES DE DESVIOS DA MFA

Atualmente, existem várias maneiras de contornar as proteções de MFA, mas o alerta do FBI alertou especificamente sobre a troca de SIM, vulnerabilidades em páginas online que lidam com operações de MFA e o uso de proxies transparentes como Muraen e NecroBrowser.

Para esclarecer a questão, o FBI listou incidentes recentes em que hackers usaram essas técnicas para contornar a MFA e roubar dinheiro de empresas e usuários regulares. Citamos a partir do relatório:

  • Em 2016, os clientes de uma instituição bancária dos EUA foram atacados por um ciberataque que portou seus números de telefone para um telefone que ele possuía – um ataque chamado troca de SIM. O atacante ligou para os representantes de atendimento ao cliente das empresas de telefonia, encontrando alguns que estavam mais dispostos a fornecer informações para concluir a troca do SIM. Depois que o atacante teve controle sobre os números de telefone dos clientes, ligou para o banco para solicitar uma transferência eletrônica das contas das vítimas para outra conta de sua propriedade. O banco, reconhecendo o número de telefone como pertencente ao cliente, não solicitou perguntas completas de segurança, mas solicitou um código único enviado ao número de telefone do qual estava ligando. Ele também solicitou a alteração de PINs e senhas e conseguiu anexar os números de cartão de crédito das vítimas a um aplicativo de pagamento móvel.
  • Ao longo de 2018 e 2019, o Centro de reclamações sobre crimes na Internet e as queixas das vítimas do FBI observaram a troca acima do SIM-ataque – como uma tática comum dos cibercriminosos que tentam burlar a autenticação de dois fatores. As vítimas desses ataques tiveram seus números de telefone roubados, suas contas bancárias drenadas e suas senhas e PINs alterados. Muitos desses ataques contam com representantes de atendimento ao cliente de engenharia social das principais empresas de telefonia, que fornecem informações aos atacantes.
  • Em 2019, uma instituição bancária dos EUA foi alvo de um invasor cibernético que conseguiu tirar vantagem de uma falha no site do banco para burlar a autenticação de dois fatores implementada para proteger as contas. O invasor cibernético efetuou login com credenciais de vítima roubadas e, ao acessar a página secundária em que o cliente normalmente precisaria inserir um PIN e responder a uma pergunta de segurança, o invasor inseriu uma sequência manipulada no URL da Web, configurando o computador como reconhecido no conta. Isso permitiu que ele ignorasse as páginas de PIN e perguntas de segurança e iniciasse transferências bancárias das contas das vítimas.
  • Em fevereiro de 2019, um especialista em cibersegurança da RSA Conference em San Francisco demonstrou uma grande variedade de esquemas e ataques que os ciberataques poderiam usar para burlar a autenticação multifatorial. O especialista em segurança apresentou exemplos em tempo real de como os ciber atores podem usar ataques do tipo intermediário e seqüestro de sessões para interceptar o tráfego entre um usuário e um site para conduzir esses ataques e manter o acesso pelo maior tempo possível. Ele também demonstrou ataques de engenharia social, incluindo esquemas de phishing ou mensagens de texto fraudulentas que pretendem ser um banco ou outro serviço para fazer com que um usuário faça login em um site falso e renuncie a suas informações privadas.
  • Na conferência Hack-in-the-Box de junho de 2019 em Amsterdã, os especialistas em segurança cibernética demonstraram um par de ferramentas – Muraena e NecroBrowser – que trabalharam em conjunto para automatizar um esquema de phishing contra usuários de autenticação multifator. A ferramenta Muraena intercepta o tráfego entre um usuário e um site de destino, onde é solicitado que você insira credenciais de login e um código de token, como de costume. Depois de autenticado, o NecroBrowser armazena os dados para as vítimas desse ataque e seqüestra o cookie da sessão, permitindo que os ciberataques acessem essas contas privadas, as controlem e alterem as senhas dos usuários e os endereços de email de recuperação, mantendo o acesso o maior tempo possível .

O MFA AINDA É EFICAZ

O FBI deixou bem claro que seu alerta deve ser tomado apenas como precaução, e não como um ataque à eficiência da MFA, que a agência ainda recomenda. O FBI ainda recomenda que as empresas usem o MFA.

Em vez disso, o FBI quer que os usuários das soluções da MFA estejam cientes de que os cibercriminosos agora têm maneiras de contornar essas proteções de conta.

“A autenticação multifatorial continua a ser uma medida de segurança forte e eficaz para proteger as contas online, desde que os usuários tomem precauções para garantir que não sejam vítimas desses ataques”, afirmou o FBI.

Apesar do aumento no número de incidentes e ferramentas de ataque capazes de contornar o MFA , esses ataques ainda são incrivelmente raros e não foram automatizados em escala. Na semana passada, a Microsoft disse que os ataques que podem contornar o MFA são tão fora do comum, que nem sequer têm estatísticas sobre eles .

Por outro lado, o fabricante do sistema operacional disse que, quando ativado, o MFA ajudou os usuários a bloquear 99,9% de todos os hacks de conta .

Em maio, o Google também disse algo semelhante, alegando que os usuários que adicionaram um número de telefone de recuperação às suas contas (e habilitaram indiretamente o MFA baseado em SMS) aumentaram a segurança da conta.

“Nossa pesquisa mostra que simplesmente adicionar um número de telefone de recuperação à sua Conta do Google pode bloquear até 100% dos bots automáticos, 99% dos ataques de phishing em massa e 66% dos ataques direcionados que ocorreram durante nossa investigação”, afirmou o Google na época. .

Em suma, o MFA ainda é muito eficaz na prevenção da maioria dos ataques automatizados e em massa; no entanto, os usuários devem estar cientes de que existem maneiras de ignorar algumas soluções de MFA, como aquelas que dependem de verificações baseadas em SMS.

Em vez disso, os usuários devem escolher uma solução MFA mais forte que não seja vulnerável a truques de engenharia social como a troca de SIM ou proxies transparentes que possam interceptar o token MFA.

Nesta página , um engenheiro de segurança da Microsoft analisou como várias soluções de MFA se saem contra ataques de desvio de MFA. As soluções listadas na parte inferior da tabela são as mais fortes.

Fonte: ZDNET