Fadiga de MFA (Push Bombing)
O que é Fadiga de MFA (Push Bombing)?
Fadiga de MFA (Push Bombing)Ataque em que o adversario, ja com a senha valida, inunda a vitima de notificacoes push de MFA ate que esta aprove uma por confusao ou cansaco.
A fadiga de MFA, ou push bombing, explora a autenticacao multifator baseada em push. Apos obter uma senha valida por phishing ou credential stuffing, o atacante inicia logins repetidos, gerando uma sequencia de aprovacoes push no telefone da vitima. Eventualmente o utilizador toca em Aprovar para parar o barulho ou pensa que a notificacao e legitima. Casos notaveis: violacao da Uber em 2022 e intrusao na Cisco em 2022, ambas associadas a Lapsus$ e EXOTIC LILY. Mitigacoes: number matching, contexto nas notificacoes, rate limiting, bloqueio apos negacoes repetidas e migracao para FIDO2 ou passkeys resistentes a phishing.
● Exemplos
- 01
Uber 2022: um prestador externo aprovou uma push apos dezenas de tentativas, dando acesso inicial.
- 02
Cisco 2022: atacantes combinaram vishing e push bombing para contornar o MFA do VPN corporativo.
● Perguntas frequentes
O que é Fadiga de MFA (Push Bombing)?
Ataque em que o adversario, ja com a senha valida, inunda a vitima de notificacoes push de MFA ate que esta aprove uma por confusao ou cansaco. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Fadiga de MFA (Push Bombing)?
Ataque em que o adversario, ja com a senha valida, inunda a vitima de notificacoes push de MFA ate que esta aprove uma por confusao ou cansaco.
Como funciona Fadiga de MFA (Push Bombing)?
A fadiga de MFA, ou push bombing, explora a autenticacao multifator baseada em push. Apos obter uma senha valida por phishing ou credential stuffing, o atacante inicia logins repetidos, gerando uma sequencia de aprovacoes push no telefone da vitima. Eventualmente o utilizador toca em Aprovar para parar o barulho ou pensa que a notificacao e legitima. Casos notaveis: violacao da Uber em 2022 e intrusao na Cisco em 2022, ambas associadas a Lapsus$ e EXOTIC LILY. Mitigacoes: number matching, contexto nas notificacoes, rate limiting, bloqueio apos negacoes repetidas e migracao para FIDO2 ou passkeys resistentes a phishing.
Como se defender contra Fadiga de MFA (Push Bombing)?
As defesas contra Fadiga de MFA (Push Bombing) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 708
Autenticação multifator (MFA)
Método de autenticação que exige dois ou mais fatores independentes — geralmente de categorias diferentes — antes de conceder acesso.
- identity-access№ 883
Autenticação por push
Método de MFA em que o fornecedor de identidade envia um pedido de início de sessão a uma aplicação móvel de confiança, que o utilizador aprova ou rejeita com um toque.
- identity-access№ 414
FIDO2
Padrão aberto de autenticação da FIDO Alliance que combina WebAuthn (API do navegador) e CTAP (protocolo do autenticador) para um início de sessão sem palavra-passe e resistente a phishing.
- identity-access№ 793
Passkey
Credencial FIDO2/WebAuthn resistente a phishing: par de chaves assimétricas ligado ao dispositivo ou sincronizável que substitui as palavras-passe por um desafio-resposta criptográfico.
- attacks№ 1065
Engenharia social
Manipulação psicológica que leva pessoas a executar ações ou a revelar informações confidenciais em benefício do atacante.
- attacks№ 232
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.