Muraena e NecroBrowser Provam que Ataques de Phishing Automatizados podem Ignorar a Autenticação de Dois Fatores

Nossa dependência infinita nas senhas é um dos motivos pelos quais os pesquisadores procuram novos métodos para garantir a segurança cibernética. A autenticação multifator ou autenticação de dois fatores é um desses recursos de segurança que oferecem uma forte camada adicional de segurança aos nossos dados pessoais. Embora não seja perfeito, dificulta o acesso de hackers a informações confidenciais.

No entanto, os pesquisadores Michele Orru e Giuseppe Trotta provaram recentemente que é possível ignorar a autenticação de dois fatores com um ataque de phishing. Embora exija certas ferramentas para isso, mostra claramente que confiar em um único método de autenticação não é suficiente para garantir a segurança dos seus dados pessoais.

O Que é a Autenticação de Dois Fatores

Antes de entrarmos em detalhes, devemos informar em breve sobre a autenticação de dois fatores e por que esse é o método preferido de autenticação de identidade. O ponto por trás da autenticação de dois fatores é que ela usa tokens de segurança exclusivos que apenas o usuário que está tentando acessar uma conta específica deve ter. Além disso, esses tokens geralmente são senhas únicas que expiram em breve.

Geralmente, esses tokens são códigos temporários que os usuários recebem em seus e-mails ou telefones celulares. Esses códigos protegem os usuários e seus dados dos ataques de phishing tradicionais, porque não é possível interceptá-los. Ou assim pensamos até um mês atrás.

Vulnerabilidade na Autenticação de Dois Fatores

Antes de começarmos, lembre-se de que não há necessidade de entrar em pânico, pois essas vulnerabilidades de autenticação de dois fatores foram descobertas por pesquisas de segurança. Poderíamos dizer que essa pesquisa foi semelhante à que descrevemos anteriormente em nosso post sobre ferramentas de hackers: os pesquisadores procuravam maneiras de tornar o processo de autenticação mais forte, indicando suas vulnerabilidades.

Então, como ignorar a autenticação de dois fatores? Para que um ataque de phishing seja bem-sucedido, os sites de phishing comuns precisam funcionar como proxies. Isso significa que eles precisam funcionar como uma conexão entre a vítima e o site original que emite o código de autenticação de dois fatores. Essa conexão deve ser instantânea para que os criminosos possam adquirir os cookies de sessão temporária que permitiriam acessar as contas de destino.

Os pesquisadores dizem que essa técnica não é algo inédito. A ideia já existe há algum tempo; é que não havia tecnologia que o ajudasse. Sem mencionar que o recurso de proxy reverso não funciona em sites que empregam Subresource Integrity (SRI) e Content Security Policy (CSP), que essencialmente bloqueiam proxies.

É aqui que Muraena e NecroBrowser, desenvolvidos pelos pesquisadores Orru e Trotta, entram em cena. Se alguém se perguntar como ignorar a autenticação de dois fatores, essas ferramentas podem ajudá-lo a fazê-lo. E uma vez feito, é possível iniciar um ataque de phishing bem-sucedido.

Muraena & NecroBrowser

Embora o discurso técnico associado a essas ferramentas possa não dizer muito para um usuário comum, consideramos importante discutir um pouco as duas ferramentas, pois elas são um bom exemplo do que pode ser desenvolvido para melhorar ataques de phishing.

O NecroBrowser é uma ferramenta que pode ser usada na automação pós-phishing. É um microsserviço que permite especificar um portal de destino. Em outras palavras, ajuda a seqüestrar a sessão de autenticação legítima e, quando os atacantes alimentam as sessões coletadas durante as campanhas de phishing, o serviço deve executar ações em nome da vítima. Dependendo do que a ferramenta deve fazer, ela pode executar redefinições de senha automatizadas, extrusão de informações, representação de usuários, contas de backdoor com novas chaves e assim por diante.

Muraena, por outro lado, é um proxy reverso escrito na linguagem de programação Go. Esse proxy deve automatizar ataques de phishing e outras atividades de pós-phishing. Essa ferramenta permite que os invasores obtenham certificados legítimos para seus domínios, dificultando a observação de um site de phishing. Além disso, o proxy funciona como um rastreador que verifica todos os recursos e decide automaticamente qual deles pode proxy. Portanto, quando recebe solicitações das vítimas, o proxy as reescreve e as repassa, praticamente permitindo que os atacantes assumam as informações que passam por elas.

Ambos, Muraena e NecroBrowser transformam o navegador em um zumbi, e as ações executadas podem ser totalmente automatizadas. Não devemos esquecer que os invasores também podem programar as ferramentas para executar uma variedade de ações. Não seria surpreendente se eles pudessem capturar imagens de e-mails ou adicionar endereços não autorizados às caixas de correio. Isso garantiria apenas que os ataques de phishing se espalhassem ainda mais. Se essas ferramentas ou algo assim cairem nas mãos erradas, poderá ocorrer um ataque de ataques de phishing perigosos no futuro.

O Que os Usuários podem Fazer?

Os especialistas em segurança são unânimes em não haver uma solução permanente para esse problema. Desde que o Muraena e o NecroBrowser foram criados para apontar as vulnerabilidades de autenticação de dois fatores, eles apenas mostraram que os usuários não devem manter todos os seus ovos em uma cesta, por assim dizer.

Embora a autenticação de dois fatores seja definitivamente um passo à frente, você deve usá-la juntamente com outros métodos que melhoram a sua segurança cibernética. Quando se trata de senhas, convém empregar um gerenciador de senhas que armazene e gere suas senhas. Alguns também sugerem o uso de tokens de hardware USB para autenticação de dois fatores em vez de senhas de uso único, mas a solução USB também não é à prova de balas porque os atacantes podem simplesmente programar suas ferramentas para recusar a autenticação de token USB, emitindo, assim, a solicitação temporária de código. Portanto, precisamos lembrar que sempre há uma maneira de ignorar a autenticação de dois fatores de alguma forma.

Além disso, é de vital importância permanecer vigilante e tomar cuidado com as mensagens de phishing que estão tentando empurrá-lo para autenticar suas identidades. Se você acessar o site de autenticação por meio de um link no seu email, verifique se está definitivamente no site correto e se o nome do domínio é legítimo. Em caso de dúvida, você sempre pode verificar se existe o indicador TLS ou SLL (como o ícone de bloqueio GlobalSign). A ausência desses indicadores é o primeiro sinal de que o site em que você está provavelmente é malicioso. Nunca é tarde para recuar se você ainda não inseriu suas informações pessoais, portanto, seja cuidadoso e responsável com os dados que compartilha online.

January 30, 2020