Duas décadas atrás, a indústria de segurança da informação procurava a sua bala de prata. Tecnologias existentes eram repaginadas e novas surgiam, ambas com a promessa de resolver por completo, ou quase, os problemas dos ataques cibernéticos. Mas como diria o nosso imortal Garrincha: faltou combinar com os russos – de acordo com o biógrafo do jogador, o diálogo em questão nunca aconteceu, mas a anedota vale para qualquer discussão sobre planejamento, e ainda mais em segurança da informação. Os atacantes, sobretudo os grupos do crime cibernético e aqueles patrocinados por Estados, sempre dispuseram de recursos – tempo e dinheiro – para buscar formas de contornar as "balas de prata". Hoje, ninguém mais fala em solução definitiva, mas continuamos nos encantando em demasia com algumas tecnologias, e por isso relaxando o controle. É o caso do MFA.
O MFA, ou múltiplo fator de autenticação, é uma evolução do 2FA, o segundo fator de autenticação, que acabou por se tornar um subconjunto do primeiro. No fim, boa parte das instalações chamadas de MFA tem apenas dois fatores de autenticação, sendo tecnicamente 2FA, mas o termo MFA acabou por se tornar o padrão para referenciar a autenticação com mais um fator de verificação.
A tecnologia surgiu para corrigir o que é provavelmente o maior problema de segurança herdado do passado: a senha. Ganhou popularidade porque é ao mesmo tempo simples e eficaz. À senha fixa, capaz de ser facilmente descoberta, adiciona-se um ou mais elementos que não estejam ao alcance do atacante, como a senha gerada automaticamente no momento do login. É tão boa que, de acordo com o relatório State of the Phish 2024, da Proofpoint, atualmente 94% dos profissionais de segurança no Brasil a consideram como uma solução definitiva – a bala de prata – para bloquear acessos por roubo de credencial. Mas com o passar do tempo, a eficácia foi ficando só nas aparências. Os grupos associados ao crime cibernético fizeram seus investimentos e pesquisa, e desenvolveram uma série de técnicas para contornar o obstáculo.
Alguns usam o que é provavelmente o mais simples e eficaz (tal qual o MFA) método de ataque até hoje criado: a engenharia social. É tão eficiente que quadrilhas montaram estruturas de call center para aplicar golpes variados. Há diferentes métodos: o primeiro deles se aproveita do fato de muitas pessoas ainda estarem trabalhando remotamente; os atacantes obtêm os contatos e ligam passando-se por profissionais de TI, levando-as a revelar as credenciais ou compartilhar o segundo fator. Diga-se de passagem,é um método bastante trabalhoso e não tão eficiente. Mas há outro que obtém o mesmo resultado e é melhor: fazer com que as vítimas digitem seus dados em um portal. Para isso, o atacante envia um e-mail phishing que leva a pessoa a acessar um portal falso, passando-se pelo o da empresa. O ataque inicial é massivo e o resultado é bastante positivo para os criminosos, pois os usuários tendem a acreditar mais se a eles é apresentado um portal de login.
Há ainda uma terceira técnica, meio engenharia social, que é o típico "vencer por cansaço". Funciona para quando o MFA usa a técnica de push, que é perguntar ao usuário se é ele quem está fazendo o login. Aqui o atacante conseguiu a senha fixa, e começa a tentar o login, enviando sem parar os push, ou seja, a pergunta de validação. O usuário vítima, ao receber tantos pedidos, acaba liberando o acesso na esperança de que os alertas parem. Mas ele pode também estar acessando os aplicativos naquele instante e pensar que o alerta de autorização é para o que ele está fazendo agora. Nem se dá conta de que autorizou o acesso a um invasor.
Outra técnica se aproveita das aplicações que enviam a segunda senha por SMS ou e-mail. Para SMS, o modelo está em clonar o SIM da vítima e receber cópias das mensagens com as senhas temporárias. Envolve um segundo crime, que é corromper funcionários das empresas de telefonia ou revendas, um problema que está já há algum tempo na mira de ação dos provedores. Via e-mail, o atacante primeiro obtém acesso à caixa postal da vítima a fim de ver as mensagens enviadas.
Saindo dos métodos de exploração humana, temos os tecnológicos. O mais comum é o de sequestro de sessão, também conhecido como adversary-in-the-middle. É um conceito de ataque antigo, mas sempre reaproveitado. Aqui, uma vez que o usuário fez sua autenticação, o invasor rouba os cookies ou tokens da sessão estabelecida e faz seu acesso aproveitando-se da sessão legítima.
A resposta para essas técnicas requer uma abordagem multicamadas. Afinal, não há bala de prata. O primeiro passo está na própria tecnologia de MFA. Há métodos mais seguros e resistentes que outros e disponíveis nas principais soluções de mercado. Nem sempre o método será o melhor na visão do usuário final, mas aqui deve-se buscar o equilíbrio. Aliado ao MFA, estão os sistemas de deteção de roubo de credenciais. Baseados no comportamento dos usuários, são capazes de identificar padrões suspeitos e reagir automaticamente, bloqueando, por exemplo, a conta suspeita. O mercado conhece esses produtos como Account Takeover Security.
Ao se falar do usuário, não podemos deixar de tratar a engenharia social. A principal ação é a de educar e conscientizar os usuários. Devemos fazê-lo de forma contínua e, se possível, personalizar os programas de acordo com o perfil e função na empresa. Sabemos que treinamentos corporativos em geral são tediosos e para que funcionem a empresa precisa torná-los interessantes.
Outra medida é atacar o principal vetor de ataque: o e-mail. Para isso, deve-se adotar e aplicar uma política de segurança, o já famoso Email Protection. Mais que simplesmente bloquear mensagens maliciosas, deve-se adotar uma postura de gestão, identificando usuários mais atacados e aqueles mais propensos a serem enganados, e usar essas informações para personalizar ações e campanhas de treinamento.
Finalmente, temos a arena onde tudo isso ocorre: a estação de trabalho do usuário. Muitas das técnicas usarão malware para controlar o computador, temporariamente ou permanentemente. Assim, torna-se primordial um sistema EDR (Endpoint Detection and Response).
A bala de prata do passado hoje se traduz em uma série de soluções independentes que se complementam. Aliado a elas vem a gestão. Ao invés de reagir a eventos, os administradores de segurança devem agir proativamente. A gestão moderna de segurança inclui também os planos de resposta a incidentes. Saber o que fazer quando tudo dá errado é primordial para conter o dano. Hoje não se pensa mais em criar ambientes invioláveis, e sim em dificultar ao máximo o trabalho dos invasores, a cada passo que eles tentem dar.
Marcelo Bezerra, especialista em cibersegurança da Proofpoint.
