Com a crescente necessidade de proteger nossos dados, a autenticação multifator (MFA) ou de dois fatores (2FA) tornou-se um pilar essencial da segurança digital. No entanto, o que deveria ser uma barreira intransponível, está sendo transformado em uma vulnerabilidade por golpistas que exploram o ‘MFA fatigue’ – o cansaço do usuário diante de múltiplas notificações de segurança.
Em um cenário onde somos bombardeados por alertas de aplicativos e serviços, é natural que a atenção diminua. Momentos de distração, pressa ou a repetição incessante de pedidos de autorização podem levar um usuário a aprovar um acesso indevido sem perceber. Esta é a essência do MFA fatigue: uma tática de engenharia social que ataca o comportamento humano, e não a tecnologia em si.
O que é MFA Fatigue e como ela funciona?
A MFA fatigue é a exploração estratégica do cansaço das notificações de autenticação. Os ataques se baseiam em bombardear o celular da vítima com solicitações repetidas de acesso. Mesmo que o usuário desconfie da origem, a rapidez com que as notificações surgem ou a simples exaustão podem levá-lo a clicar acidentalmente em um pedido fraudulento, concedendo acesso aos criminosos.
Por que seu código 2FA é tão valioso para golpistas?
A autenticação por dois ou mais fatores é consistentemente recomendada como uma camada crucial de segurança. Ela impede que, mesmo após o roubo da sua senha, um cibercriminoso consiga acessar seus dados, pois a etapa final exige um código ou uma aprovação enviada ao seu dispositivo. É justamente por ser essa última barreira que os hackers dedicam esforços a desenvolver técnicas para obter seu código ou induzi-lo a aprovar acessos maliciosos, utilizando pressão, engano, urgência e confusão como suas principais armas.
As táticas dos criminosos para obter seu acesso
Além do bombardeio de solicitações, os golpistas utilizam outras abordagens sofisticadas. Eles podem elaborar falsas mensagens de suporte solicitando diretamente o código de autenticação, ligar para as vítimas fingindo ser de empresas legítimas ou até mesmo construir páginas de login falsas que sequestram sua sessão em tempo real. Muitas vezes, o MFA fatigue é a continuação de um ataque maior, onde os criminosos já obtiveram seu login e senha por meio de phishing e agora utilizam a engenharia social para superar a última camada de segurança.
Como se proteger da MFA Fatigue?
Apesar da sofisticação desses ataques, a proteção reside em práticas simples e vigilância constante:
- Desconfie sempre: Se você receber uma notificação de autenticação inesperada ou várias ao mesmo tempo, e não fez login em nenhum serviço recentemente, não clique.
- Aja imediatamente: Caso receba um alerta suspeito, troque a senha do serviço solicitado imediatamente.
- Revise suas conexões: Verifique os dispositivos conectados à sua conta e remova qualquer um que você não reconheça.
- Nunca compartilhe seu código: Nenhuma empresa legítima pedirá seu código de autenticação. Ele é pessoal e intransferível.
- Fortaleça sua segurança: Combine a autenticação de dois fatores com outras ferramentas, como passkeys, chaves físicas, biometria e limites de tentativas de login.
Lembre-se: tecnologia de ponta não é suficiente sem a conscientização do usuário. A segurança real é uma combinação de interface, contexto e, acima de tudo, a desconfiança e o cuidado de quem está do outro lado da tela.
Fonte: canaltech.com.br