Com tantos aplicativos, contas e autenticações espalhados por aí, é natural ver diversas notificações pedindo para autorizar acesso no smartphone. Em momentos de distração, com pedidos repetidos ou vistos com pressa, é provável que um usuário acabe aprovando um acesso indevido sem querer: isso é uma tática hacker de engenharia social que explora o comportamento humano, e não a tecnologia em si.
Entendendo o que é MFA fatigue
A 2FA/MFA fatigue é a exploração do cansaço das notificações, especialmente quando há muita repetição, já que os ataques bombardeiam o celular com pedidos. Mesmo que saiba que se trata de algo fraudulento, o incidente pode até levar o usuário a aceitar sem querer, clicando numa notificação que surgiu rapidamente.
Por que códigos e aprovações de 2FA valem tanto aos criminosos
Em nossas matérias, sempre damos a dica de segurança de ativar a autenticação por dois ou mais fatores nas contas: elas são importantes pois, mesmo que você tenha a senha roubada, o cibercriminoso não poderá acessar seus dados, pois é travado por um código ou aprovação mandado para o seu celular.
É natural que, então, os hackers desenvolvam técnicas para tentar pegar o código recebido por você ou fazer você clicar em notificações de aprovação de acesso. Pressão, engano, urgência e confusão são as armas da vez para fraudar mais essa etapa de acesso.
Como o ataque funciona na prática
Como já citado, uma das táticas é justamente o bombardeio de solicitações, na esperança de que uma delas seja aceita. Os golpistas também elaboram falsas mensagens de suporte para pedir o código diretamente, bem como ligam fingindo ser da empresa em questão e constroem páginas de login falsas, sequestrando sua sessão em tempo real.
Muitas vezes, o MFA fatigue é uma continuação de uma cadeia de ataque maior: primeiro, os criminosos roubam seu login e senha através de phishing, seguindo o ataque com solicitações de acesso. Com engenharia social, os seus dados são usados contra você, mesmo que você já esteja tomando cuidado após um roubo de informações.
Por que esse golpe funciona mesmo com boa tecnologia
De nada adianta tecnologia de ponta se a parte comportamental não está igualmente protegida. No cansaço, falta de desconfiança e pressa, muitas vítimas não chegam a considerar que uma camada de segurança possa ser usada contra elas, e aprovam solicitações ou enviam seus códigos tranquilamente. Segurança real é uma união de interface, contexto e conscientização do usuário.
Como se proteger do MFA fatigue
Você não fez login em um serviço recentemente? Recebeu uma notificação inesperada ou várias delas ao mesmo tempo? Não clique e, imediatamente, troque a senha do serviço solicitado. Convém ainda revisar os dispositivos conectados à conta e usar mais métodos de verificação, se possível.
Desconfie sempre de suporte que entre em contato com você quando não necessário, te informando de um suposto problema surpresa. Nunca compartilhe seu código de autenticação com ninguém, pois só você pode usá-lo: nenhuma empresa precisa dele para realizar qualquer ação.