O segundo relatório em uma semana analisou ataques de phishing que tentam – e provavelmente conseguem – ignorar formas mais antigas de autenticação de dois fatores (2FA).

O mais recente é do grupo de campanha Anistia Internacional, que disse ter detectado duas campanhas enviando alertas falsos de contas, visando cerca de mil defensores dos direitos humanos no Oriente Médio e na África.

A organização tem suas teorias sobre quem está por trás dos ataques, mas o que mais chama atenção são os métodos empregados para derrotar a autenticação.

Apenas alguns dias atrás, pesquisadores da Certfa informaram sobre o que eles acreditavam ser ataques direcionados contra pessoas influentes com conexões nos EUA, que foram capazes de vencer o 2FA.

As contas alvos do Gmail e do Yahoo eram protegidas usando 2FAs com base em SMS (em que um código único é enviado ao dispositivo móvel de um usuário) ou geradas por um aplicativo autenticador, também usando um protocolo baseado em OTP.

Da mesma forma, os ataques detectados pela Anistia também tiveram como alvo os 2FAs do Google e do Yahoo, embora isso provavelmente reflita sua popularidade em vez de qualquer fraqueza específica na implementação.

Phishing 2FA

Tal como acontece com Certfa, a evidência da Anistia vem da análise de um servidor usado pelos invasores para armazenar credenciais de contas roubadas.

Isso parece incluir referências aos códigos 2FA da OTP com phishing, mas com uma diferença interessante: assim que eles obtiverem acesso à conta, os invasores também configuram uma senha de aplicativo de terceiros para manter a persistência.

Isso significaria que mesmo que um indivíduo alvo de phishing percebesse que ele havia sido hackeado e recuperasse o acesso a sua conta, os invasores teriam criado uma backdoor furtiva que não seria imediatamente óbvia para muitos usuários.

Diz o relatório:

As senhas de aplicativos são perfeitas para que um invasor mantenha um acesso persistente à conta da vítima, pois não precisará mais realizar nenhuma autenticação de dois fatores ao acessá-la.

Em uma segunda técnica, os invasores pareciam ter conectado contas hackeadas a serviços de migração, como o Shuttlecloud, como uma forma de monitorar silenciosamente a atividade em uma conta clone.

ProtonMail e Tutanota

Curiosamente, as campanhas também segmentaram serviços de e-mail mais especializados, como ProtonMail e Tutanota, que são comercializados como oferecendo um nível mais alto de segurança e privacidade por padrão.

Por exemplo, mesmo sem a autenticação ativada, os usuários do ProtonMail devem inserir não apenas um nome de usuário e senha, mas um código de criptografia para descriptografar o conteúdo de sua caixa de entrada. Todas as mensagens enviadas entre os usuários do serviço são criptografadas de ponta a ponta e os usuários podem ver os registros de todos os acessos à conta.

E, é claro, os usuários podem ativar o 2FA baseado em OTP, que, dado que o ProtonMail tem a intenção de elevar o padrão para os invasores, pode-se imaginar que a maioria dos usuários faria isso.

Mas as chaves de criptografia e os códigos OTP não são diferentes dos nomes de usuário e senhas – em princípio, eles podem ser violados se os invasores conseguirem passar por alguns obstáculos extras.

De acordo com a Anistia, no caso de Tutanota, a campanha de phishing era capaz de usar um domínio semelhante, tutanota.org (o domínio correto sendo tutanota.com).

Para aumentar a verossimilhança, os ataques adicionaram bugigangas, como uma conexão HTTPS / cadeado, e uma réplica cuidadosamente clonada do site real.

Os ataques tiveram sucesso?

A evidência não é conclusiva, mas parece que o Yahoo e talvez o Gmail SMS 2FA foi segmentado com sucesso em algumas ocasiões. Nenhuma evidência é apresentada sobre qualquer comprometimento das contas ProtonMail ou Tutanota.

A questão é onde isso deixa a autenticação 2FA baseada no envio ou na geração de códigos.

Vale ressaltar que, embora os ataques man-in-the-middle tenham sido possíveis por anos, não é tão fácil quanto usar phishing como nome de usuário e senha.

Para ter sucesso, o atacante deve pegar o código dentro da janela de 30 segundos antes de ser substituído por um novo código, que em condições do mundo real provavelmente deve ser feito em menos da metade desse tempo. Isso pode explicar por que a fraude de troca de SIM (onde os atacantes recebem códigos de SMS diretos) tornou-se outra técnica popular.

Para ser convincente, eles também precisam saber o número de telefone do alvo, pois as páginas de autenticação por SMS geralmente listam os dois últimos dígitos como uma verificação de autenticidade.

A mensagem aqui é que, embora a 2FA baseada em código seja melhor que uma simples senha antiga, os atacantes de phishing agora estão indo atrás dela com entusiasmo. Em vez de recorrer a suposições e probabilidades, qualquer um que ache que pode ser um alvo de alto valor deve considerar mudar para algo mais seguro.

Em algum momento, todos nós teremos que fazer o mesmo. Para a indústria de tecnologia – e seus usuários – as luzes de aviso estão piscando em vermelho.

Com informações do blog Naked Security, da Sophos.