Neste artigo

Por que MFA Não é Suficiente

Multi-Factor Authentication (MFA) foi por muito tempo considerada a solução definitiva contra roubo de credenciais. Se o atacante tem sua senha, ainda precisa do segundo fator, certo? A realidade é mais complexa: atacantes desenvolveram múltiplas técnicas para contornar MFA tradicional.

78%
dos breaches em 2025 envolveram bypass de MFA (fonte: Verizon DBIR)

Breaches de alto perfil em Uber, Cisco, Twilio, e Microsoft demonstraram que MFA baseado em push notifications, SMS ou TOTP pode ser contornado por atacantes determinados. Isso não significa que MFA é inútil - significa que precisamos entender suas limitações e implementar defesas adequadas.

MFA Fatigue (Push Bombing)

Como funciona o ataque

  1. Atacante obtém credenciais da vítima (phishing, vazamento, brute force)
  2. Tenta login, disparando notificação push de MFA
  3. Envia dezenas/centenas de requests em sequência
  4. Vítima, cansada ou confusa, aprova para "parar o incômodo"
  5. Alternativamente, atacante liga fingindo ser suporte de TI pedindo aprovação

Casos reais

  • Uber (2022): Atacante Lapsus$ bombardeou funcionário com requests por uma hora, depois contatou via WhatsApp fingindo ser TI
  • Cisco (2022): Combinação de push bombing com vishing (ligação de voz)
  • Microsoft (2022): Lapsus$ usou técnica similar para acessar repositórios

Por que funciona

  • Fadiga: Usuários não conseguem ignorar dezenas de notificações
  • Confusão: "Será que fui eu tentando logar?"
  • Falta de contexto: Push simples não mostra de onde vem o request
  • Engenharia social: Combinado com ligação de "suporte" é devastador

Defesas contra MFA Fatigue

  • Number matching: Usuário precisa digitar número mostrado na tela de login
  • Contexto adicional: Mostrar localização, dispositivo, aplicação no push
  • Rate limiting: Limitar requests de MFA por período
  • Alertas de anomalia: Detectar múltiplas tentativas e alertar segurança
  • FIDO2/Passkeys: Elimina push notifications completamente

Adversary-in-the-Middle (AiTM)

Como funciona o ataque

  1. Atacante cria proxy reverso para o site legítimo (ex: login.microsoft.com)
  2. Envia phishing direcionando vítima para o proxy (login-microsoft.com)
  3. Vítima faz login normalmente no proxy (que repassa tudo para o site real)
  4. Vítima completa MFA normalmente
  5. Proxy captura o session token/cookie resultante
  6. Atacante usa o token para acessar a conta sem precisar de senha ou MFA

Ferramentas comuns

  • Evilginx2: Framework mais popular para AiTM, suporta múltiplos sites
  • Modlishka: Proxy reverso automatizado para phishing
  • Muraena: Similar ao Evilginx, escrito em Go
  • EvilnoVNC: Usa VNC para mostrar sessão real do navegador

Por que é devastador

  • Funciona contra qualquer tipo de MFA tradicional (SMS, TOTP, push)
  • Usuário não percebe nada de errado - site se comporta normalmente
  • Atacante obtém sessão autenticada, não apenas credenciais
  • Certificados SSL válidos (Let's Encrypt) dão aparência legítima

AiTM bypassa MFA completamente

Não importa se você usa SMS, TOTP, push notification ou até hardware token para OTP. Se o MFA não verifica que o request vem do site legítimo (origin binding), ele pode ser interceptado por AiTM.

Defesas contra AiTM

  • FIDO2/WebAuthn: Vincula autenticação ao domínio, proxy não consegue repassar
  • Conditional Access: Bloquear logins de dispositivos não gerenciados
  • Token binding: Vincular tokens a características do dispositivo
  • Certificate-based auth: Certificados de cliente não podem ser proxiados
  • Continuous access evaluation: Revogar sessões ao detectar anomalias

Outros Ataques de Bypass

SIM Swap

Atacante convence operadora a transferir número da vítima para SIM do atacante, recebendo SMS de MFA.

  • Usado contra alvos de alto valor (executivos, crypto holders)
  • Frequentemente envolve insider na operadora ou engenharia social
  • Defesa: Não usar SMS para MFA em contas críticas, adicionar PIN na operadora

SS7 Attacks

Exploração de vulnerabilidades no protocolo SS7 de telefonia para interceptar SMS.

  • Requer acesso a infraestrutura de telecom
  • Mais comum em ataques nation-state ou crime organizado
  • Defesa: Não usar SMS para MFA

Session Hijacking

Roubo de session tokens após autenticação legítima (malware, XSS, network interception).

  • Infostealers como RedLine, Raccoon roubam cookies do navegador
  • Tokens vendidos em mercados criminosos
  • Defesa: EDR robusto, token binding, session timeout agressivo

Real-time Phishing

Atacante faz phishing e manualmente insere credenciais e OTP no site real em tempo real.

  • Bots no Telegram facilitam processo
  • Janela de tempo do OTP e suficiente para atacante
  • Defesa: FIDO2 (OTP não é reutilizável em outro contexto)

Defesas Eficazes

Hierarquia de MFA por Segurança

Método Resistente a Phishing? Resistente a AiTM? Nível
SMS OTP Não Não Baixo
Email OTP Não Não Baixo
TOTP (Authenticator) Não Não Médio
Push notification Parcial* Não Médio
Push com number matching Parcial* Não Médio-Alto
FIDO2 / Passkeys Sim Sim Alto
Smart Card / PIV Sim Sim Alto

*Parcial: resiste a MFA fatigue com number matching, mas nao a AiTM

Controles complementares

  • Conditional Access: Bloquear logins de países/IPs suspeitos, dispositivos não gerenciados
  • Device compliance: Exigir dispositivo móvel corporativo gerenciado para apps sensíveis
  • Impossible travel: Detectar logins de locais geograficamente impossíveis
  • Risk-based authentication: Step-up MFA baseado em risco detectado
  • Session controls: Timeout agressivo, re-auth para ações sensíveis

MFA Resistente a Phishing

FIDO2 / WebAuthn / Passkeys

FIDO2 é o padrão que torna autenticação verdadeiramente resistente a phishing através de:

  • Origin binding: Credencial só funciona no domínio correto
  • Challenge-response: Servidor envia challenge, dispositivo assina com chave privada
  • Chave privada nunca sai do dispositivo: Nada para interceptar

Opções de implementação

  • Security Keys: YubiKey, Titan Key, Feitian (USB/NFC)
  • Platform authenticators: Windows Hello, Touch ID, Face ID
  • Passkeys: FIDO2 sincronizado via iCloud, Google Password Manager

Certificate-Based Authentication

  • Smart cards (PIV, CAC)
  • Virtual smart cards
  • Certificados de cliente no dispositivo

Estratégia de migração

  1. Fase 1: Habilitar number matching em todos os push MFA
  2. Fase 2: Implantar FIDO2 para administradores e usuários de alto risco
  3. Fase 3: Expandir FIDO2/Passkeys para toda organização
  4. Fase 4: Bloquear métodos legados para apps críticos

Perguntas Frequentes

O que é MFA Fatigue?

MFA Fatigue (ou push bombing) é uma técnica onde o atacante, jáde posse da senha da vítima, envia múltiplas solicitações de MFA push até que a vítima aprove por cansaço, confusão ou para "parar o incômodo". Foi usada em breaches de Uber, Cisco e outras empresas.

O que é um ataque Adversary-in-the-Middle (AiTM)?

AiTM é uma técnica onde o atacante intercepta a comunicação entre usuário e servidor legítimo em tempo real. O usuário faz login normalmente (incluindo MFA), mas o atacante captura o session token resultante. Ferramentas como Evilginx2 automatizam esse ataque contra qualquer tipo de MFA tradicional.

Qual MFA é resistente a phishing?

MFA resistente a phishing inclui: FIDO2/WebAuthn (chaves de segurança, passkeys), certificados de cliente (smart cards, PIV), e Windows Hello for Business. Esses métodos vinculam a autenticação ao site legítimo via origin binding, impedindo que credenciais sejam usadas em sites de phishing.

Devo desabilitar SMS MFA?

SMS MFA ainda é melhor que nenhum MFA, mas deve ser evitado para contas de alto valor. A recomendação é: mantenha SMS como fallback se necessário, mas incentive migração para app authenticator (mínimo) ou FIDO2 (ideal). Para admins e executivos, exija phishing-resistant MFA.

Conclusão

MFA tradicional não é mais suficiente contra atacantes sofisticados. MFA fatigue, AiTM e outras técnicas de bypass tornaram-se commodity - qualquer atacante pode usá-las com ferramentas disponíveis publicamente.

A solução não é abandonar MFA, mas evoluir para MFA resistente a phishing. FIDO2, passkeys e certificados de cliente oferecem proteção real porque vinculam a autenticação ao contexto correto - o atacante não consegue reutilizar credenciais capturadas.

Enquanto a migração completa para phishing-resistant MFA acontece, controles complementares como number matching, conditional access e detecção de anomalias reduzem significativamente o risco.

Fortaleça sua Autenticação

Precisa de ajuda para avaliar sua postura de MFA e implementar autenticação resistente a phishing? Entre em contato para uma consultoria especializada.

Falar com Especialista