Bombardeio de MFA: como ataques exploram o segundo fator de autenticação

A autenticação multifator (MFA) foi adotada pelas organizações como uma das principais camadas de proteção contra o comprometimento de credenciais. Durante anos, a lógica foi simples: mesmo que um invasor obtivesse uma senha válida, ele ainda precisaria superar uma segunda barreira de autenticação para acessar sistemas corporativos.

Entretanto, a evolução das técnicas de engenharia social demonstrou que a existência de um segundo fator não elimina automaticamente o risco de comprometimento. Em vez de tentar quebrar ou roubar o fator adicional, os atacantes passaram a concentrar esforços em convencer o próprio usuário a aprovar o acesso.

Esse cenário deu origem ao chamado bombardeio de MFA, uma técnica que explora especialmente implementações baseadas em notificações push. O método combina credenciais legítimas comprometidas, insistência operacional e manipulação psicológica para transformar um mecanismo de defesa em uma oportunidade de ataque.

Para empresas que dependem de VPNs corporativas, Microsoft 365, Okta, Duo ou outras plataformas que utilizam autenticação push, compreender esse risco tornou-se fundamental para fortalecer a estratégia de proteção de identidade.

Neste artigo, analisaremos como funciona o bombardeio de MFA, por que ele representa um desafio para os modelos tradicionais de autenticação multifator, quais foram os impactos observados em um caso real envolvendo a Cisco e quais medidas podem reduzir significativamente a superfície de ataque.

O problema estratégico por trás do bombardeio de MFA

O princípio da autenticação multifator é reduzir a dependência exclusiva das senhas. Essa abordagem continua válida, especialmente considerando a frequência com que credenciais corporativas aparecem em vazamentos de dados, reutilizações de senhas ou ambientes comprometidos.

O desafio surge quando a segunda camada de autenticação depende excessivamente da decisão humana em um contexto com informações limitadas. Em muitas implementações, o usuário recebe apenas uma solicitação para aprovar ou negar um login, sem visibilidade suficiente sobre a origem da tentativa, o dispositivo utilizado ou o contexto do acesso.

Essa limitação cria uma oportunidade para atacantes explorarem fatores comportamentais. Em vez de enfrentar mecanismos criptográficos ou controles técnicos avançados, eles direcionam esforços para influenciar a tomada de decisão do usuário.

Do ponto de vista corporativo, trata-se de uma mudança relevante no modelo de ameaça. O alvo deixa de ser apenas a infraestrutura tecnológica e passa a incluir diretamente a interação entre usuário e sistema de autenticação.

Os três elementos necessários para o ataque

Segundo o material analisado, o bombardeio de MFA depende de três componentes principais para funcionar.

O primeiro é a posse de credenciais válidas. Essas credenciais normalmente são obtidas por meio de vazamentos de senhas disponíveis na dark web ou de outras formas de comprometimento prévio.

O segundo elemento é a existência de um portal de autenticação que utilize MFA baseado em notificações push. Ambientes corporativos amplamente utilizados, como VPNs, Microsoft 365, Duo e Okta, podem se enquadrar nesse cenário.

O terceiro componente é a própria vítima, que recebe notificações sempre que uma tentativa de login é realizada utilizando suas credenciais.

Quando esses três fatores estão presentes simultaneamente, o atacante possui as condições necessárias para iniciar uma campanha de bombardeio de autenticação.

Como funciona o bombardeio de prompts MFA na prática

A exploração da fadiga do usuário

O mecanismo operacional do ataque é relativamente simples. Após obter credenciais válidas, o invasor inicia repetidas tentativas de autenticação.

Cada tentativa gera uma nova notificação MFA para o usuário legítimo. Em vez de buscar uma aprovação imediata, o atacante aposta na repetição constante das solicitações.

Essa abordagem explora um fenômeno conhecido como fadiga de autenticação. Conforme as notificações se acumulam, o usuário pode interpretar a situação como uma falha técnica, um problema de sincronização ou um comportamento anormal do sistema.

O risco aumenta porque o invasor precisa ter sucesso apenas uma única vez. Uma única aprovação indevida pode ser suficiente para permitir o acesso à conta comprometida.

O papel da engenharia social

Em muitos casos, os atacantes ampliam a eficácia do bombardeio utilizando técnicas de vishing, ou phishing por voz.

Nesse cenário, o usuário recebe uma ligação de alguém que se apresenta como integrante do suporte técnico ou do departamento de TI. O objetivo é criar uma justificativa plausível para as notificações recebidas.

A vítima passa a acreditar que a aprovação da solicitação faz parte de um procedimento legítimo de suporte ou manutenção.

O aspecto mais preocupante é que o usuário não necessariamente age de forma negligente. Ele responde a um contexto cuidadosamente construído para parecer legítimo, utilizando informações e credenciais já comprometidas anteriormente pelo invasor.

Consequências da inação para as organizações

Empresas que consideram a autenticação multifator baseada exclusivamente em push como uma proteção suficiente podem subestimar riscos relevantes.

O principal problema é que os sistemas de monitoramento frequentemente enxergam a autenticação resultante como legítima. Afinal, a senha correta foi utilizada e o segundo fator foi aprovado pelo próprio usuário.

Isso reduz significativamente a capacidade de detecção imediata do comprometimento, permitindo que invasores operem com aparência de legitimidade dentro do ambiente corporativo.

Dependendo do nível de acesso obtido, o impacto pode incluir movimentação lateral, escalonamento de privilégios, acesso a sistemas críticos e exfiltração de dados.

Impactos para governança e segurança

Do ponto de vista de governança, o bombardeio de MFA evidencia uma fragilidade importante: controles baseados exclusivamente na aprovação humana podem ser insuficientes quando submetidos a campanhas coordenadas de engenharia social.

Além da exposição operacional, a organização pode enfrentar desafios relacionados à proteção de informações sensíveis, conformidade regulatória e continuidade de negócios.

Mesmo quando os mecanismos de autenticação funcionam conforme projetado, a ausência de contexto adicional durante o processo de aprovação pode criar uma vulnerabilidade explorável.

Isso demonstra a necessidade de combinar autenticação forte com mecanismos complementares de avaliação de risco.

O caso Cisco: uma demonstração real do risco

Como ocorreu o comprometimento

O caso apresentado envolvendo a Cisco tornou-se uma referência importante para compreender a eficácia dessa técnica.

Segundo o material original, um invasor associado ao grupo de ransomware Yanluowang comprometeu inicialmente a conta pessoal do Google de um funcionário da empresa.

Essa conta continha credenciais armazenadas no navegador, incluindo a senha da VPN corporativa utilizada pelo colaborador.

Com posse dessas credenciais, o atacante iniciou repetidas solicitações de autenticação multifator para o dispositivo da vítima.

A combinação entre insistência e vishing

As primeiras tentativas não obtiveram sucesso. Entretanto, os atacantes passaram a complementar o bombardeio com chamadas telefônicas de engenharia social.

Durante essas ligações, apresentavam-se como organizações de suporte confiáveis e buscavam convencer o usuário a aprovar uma das notificações recebidas.

Após múltiplas tentativas, a estratégia funcionou. O colaborador aprovou uma solicitação push aparentemente legítima.

Esse único evento permitiu que os invasores obtivessem acesso à VPN corporativa utilizando credenciais válidas e uma autenticação aprovada pelo próprio usuário.

As consequências após o acesso inicial

O comprometimento não se limitou ao acesso inicial.

Segundo o relato, os invasores registraram seus próprios dispositivos para MFA, garantindo persistência dentro do ambiente comprometido.

Posteriormente, conseguiram escalar privilégios administrativos, acessar servidores Citrix, interagir com controladores de domínio e exfiltrar aproximadamente 2,8 GB de dados.

O caso demonstra que o bombardeio de MFA não deve ser interpretado como uma ameaça teórica. Trata-se de uma técnica capaz de produzir impactos significativos mesmo em organizações reconhecidas por sua maturidade em segurança.

Por que a autenticação push cria uma superfície de risco

Falta de contexto para tomada de decisão

Um dos principais problemas apontados no material é a quantidade limitada de informações fornecidas ao usuário durante a autenticação.

Em muitos cenários, a notificação apresenta apenas a opção de aprovar ou negar o acesso.

Sem informações detalhadas sobre localização, dispositivo ou origem da tentativa, torna-se mais difícil distinguir um acesso legítimo de uma atividade maliciosa.

Essa limitação aumenta a dependência do julgamento humano sob condições de pressão e incerteza.

O fator psicológico do ataque

Outro aspecto relevante é o componente psicológico envolvido.

Quando dezenas de notificações são recebidas em sequência, a experiência deixa de ser uma simples validação de identidade e passa a se tornar um fator de interrupção operacional.

Usuários podem buscar encerrar rapidamente a situação sem compreender completamente sua origem.

Os atacantes exploram exatamente esse comportamento, transformando a insistência em uma ferramenta de comprometimento.

Fundamentos para mitigação do bombardeio de MFA

Utilização de fatores resistentes a phishing

O material destaca que as notificações push representam uma das formas mais frágeis de MFA diante desse tipo específico de ameaça.

Como alternativa, são citados mecanismos considerados mais resistentes a phishing, incluindo chaves de segurança FIDO2, tokens físicos como YubiKey e códigos numéricos gerados por aplicativos autenticadores.

A principal vantagem desses métodos está na redução da dependência de uma simples aprovação contextualizada de forma insuficiente.

Ao exigir etapas adicionais de validação ou a posse física de um dispositivo específico, a superfície explorável pelo atacante diminui significativamente.

Trade-offs de implementação

Apesar dos benefícios, a adoção de mecanismos mais robustos exige planejamento.

Organizações precisam considerar compatibilidade com plataformas existentes, experiência do usuário e processos de suporte.

Também é importante avaliar quais sistemas representam maior risco e devem receber prioridade durante a migração para métodos mais resistentes.

Essa análise permite equilibrar segurança operacional e eficiência de acesso.

Bloqueio de senhas comprometidas como primeira linha de defesa

A importância da etapa inicial da autenticação

O bombardeio de MFA depende da existência prévia de uma credencial válida.

Sem acesso à senha correta, o atacante não consegue iniciar o processo que gera as notificações de autenticação para a vítima.

Por essa razão, o monitoramento contínuo de senhas comprometidas assume papel estratégico na prevenção.

Eliminar credenciais expostas reduz drasticamente a possibilidade de o ataque sequer começar.

Limitações das políticas tradicionais de senha

O material ressalta que políticas padrão do Active Directory não identificam necessariamente senhas reutilizadas, incrementais ou já comprometidas.

Isso significa que uma organização pode acreditar que suas políticas estão funcionando adequadamente enquanto continua exposta a credenciais presentes em bases vazadas.

A capacidade de detectar correspondências com bancos de dados de senhas comprometidas amplia significativamente a visibilidade sobre esse risco.

Além disso, permite ações corretivas antes que credenciais sejam utilizadas em campanhas de autenticação maliciosa.

Adição de sinais de risco ao processo de autenticação

O valor do contexto em tempo real

Outro mecanismo destacado envolve a utilização de políticas de acesso condicional baseadas em sinais de risco.

Esses sinais podem incluir fatores como localização geográfica, configuração do dispositivo e horários de acesso.

Em vez de tratar todas as tentativas de login da mesma maneira, o sistema passa a considerar o contexto em que a autenticação ocorre.

Isso reduz a dependência exclusiva da decisão do usuário durante o processo de validação.

Redução da superfície de comprometimento

Quando um login apresenta características suspeitas, a organização pode aplicar controles adicionais antes mesmo de enviar uma solicitação MFA.

Essa abordagem cria múltiplas camadas de proteção, dificultando a progressão do ataque.

O benefício estratégico está na capacidade de interromper atividades potencialmente maliciosas antes que elas alcancem a etapa final de autenticação.

Consequentemente, a probabilidade de comprometimento bem-sucedido tende a ser reduzida.

Medição de sucesso em estratégias de proteção contra bombardeio de MFA

A eficácia das medidas de proteção pode ser observada por meio da redução de eventos relacionados a aprovações indevidas de autenticação.

Também é relevante monitorar a quantidade de credenciais comprometidas identificadas e corrigidas ao longo do tempo.

Outro indicador importante envolve a capacidade de bloquear tentativas suspeitas antes da geração de notificações MFA para usuários finais.

Por fim, organizações devem acompanhar a adoção de fatores resistentes a phishing e sua cobertura sobre sistemas considerados críticos para o negócio.

Conclusão

O bombardeio de MFA demonstra que a segurança de identidade não depende apenas da existência de múltiplos fatores de autenticação, mas também da forma como esses fatores são implementados e utilizados.

O caso da Cisco evidencia que mesmo organizações com estruturas maduras de segurança podem ser impactadas quando atacantes combinam credenciais válidas, insistência operacional e engenharia social.

As limitações das notificações push mostram que controles centrados exclusivamente na aprovação do usuário podem ser explorados quando não oferecem contexto suficiente para decisões seguras.

Nesse cenário, fatores resistentes a phishing, monitoramento contínuo de senhas comprometidas e mecanismos de avaliação contextual de risco surgem como elementos importantes para fortalecer a proteção de identidade.

A autenticação multifator continua sendo uma camada essencial de segurança. Entretanto, a evolução das ameaças exige que as organizações revisem continuamente seus modelos de autenticação para garantir que o segundo fator permaneça efetivamente um mecanismo de proteção e não um ponto explorável por atacantes.