- Criminosos passaram a burlar a autenticação em dois fatores usando notificações push, enviando inúmeras solicitações de login para forçar a vítima a aprovar por engano.
- O ataque combina senhas vazadas, engenharia social e cansaço psicológico para driblar sistemas de autenticação.
- Em duplas etapas, o invasor tenta login repetidamente em serviços como VPN, Microsoft 365 ou Okta, até que a vítima aceite a notificação.
- O caso da Cisco, em dois mil e vinte e dois, mostrou a eficácia da tática: após receberem notificações, funcionários acabaram autorizando o acesso e os atacantes obtiveram privilégios administrativos.
- Especialistas indicam três defesas: substituir notificações push por métodos mais seguros (chips/ tokens físicos), bloquear senhas vazadas na origem e aplicar políticas de acesso condicional que considerem local, dispositivo e hora de login.
Na prática, criminosos estão burlando a autenticação em dois fatores por meio de notificações push. A tática envolve senhas vazadas, engenharia social e técnicas de sobrecarga psicológica para pressionar a aprovação de login. Casos já ocorreram contra grandes empresas de tecnologia, incluindo a Cisco, em 2022.
O ataque exige três elementos: a senha real da vítima obtida de vazamentos; tentativas repetidas de acesso a serviços como VPN, Microsoft 365 ou Okta; e o envio contínuo de notificações que, em vez de reforçar a segurança, cansam o usuário a aceitar a autorização.
A sequência funciona assim: o invasor envia várias solicitações de login para o celular da vítima, que podem ser recusadas inicialmente pela pessoa. Em momentos, os atacantes ligam fingindo ser suporte técnico e convencem a vítima a aprovar a notificação.
Como funciona o golpe
A técnica depende do uso de notificações sem contexto suficiente. A vítima não tem informações sobre a origem do pedido, qual dispositivo está sendo tentado ou se houve iniciativa própria.?
Quando as notificações surgem em sequência, há maior chance de erro humano, sobretudo se houver uma ligação associada ao ataque, aumentando a probabilidade de aprovação inadvertida.
Casos e impactos
O ataque já foi registrado em incidentes envolvendo Cisco, com criminosos aproveitando uma conta pessoal do Google para obter acesso à VPN de um funcionário. Após aprovar a notificação, os invasores registraram dispositivos no sistema para manter a janela de entrada e obtiveram privilégios administrativos.
O volume de dados roubados chegou a gigabytes, com a estimativa de que o acesso não autorizado posibilitou a extração de informações por um período relevante. Este caso evidencia o potencial de danos quando a verificação secundária falha.
Medidas de proteção
Especialistas recomendam três frentes de defesa. A primeira é substituir notificações push por métodos mais seguros de segunda etapa, como chaves FIDO2, tokens físicos ou códigos de aplicativos autenticadores.
A segunda orientação é bloqueiar senhas vazadas na origem, usando ferramentas que monitoram o Diretório Ativo em busca de credenciais comprometidas para exigir mudanças preventivas.
A terceira envolve adicionar contexto ao login, com políticas que avaliam localização, dispositivo e horário antes de acionar qualquer notificação, bloqueando tentativas suspeitas de forma proativa.
Entre na conversa da comunidade