Como atacantes burlam 2FA por push e como se proteger

A autenticação multifator por push (prompt-based 2FA) melhora a experiência do usuário e reduz riscos comuns do SMS. No entanto, atacantes ainda conseguem contornar esse segundo fator em vários cenários. Este guia descreve os vetores de ataque mais frequentes, contramedidas práticas e checklists para usuários e equipes técnicas.

O que é autenticação por push

Autenticação por push: método em que um serviço envia uma notificação ao seu dispositivo para aprovar um login. É diferente do TOTP (códigos temporários) e do SMS. É mais resistente a phishing simples, mas depende da segurança do dispositivo e do fluxo de aprovação.

1. Ataque de cansaço do MFA

Descrição

No ataque de cansaço do MFA, o invasor com uma senha comprometida envia repetidas solicitações de aprovação ao dispositivo da vítima. O objetivo é cansar, irritar ou confundir o usuário até que ele aceite para cessar as notificações.

Como funciona

• O atacante tenta fazer login com credenciais válidas.
• O serviço envia notificações push contínuas para o app de autenticação.
• O usuário, cansado ou confuso, aprova por engano.

Contra medidas para usuários

• Nunca aceite solicitações não solicitadas. Um pedido inesperado significa provavelmente que sua senha foi comprometida. Troque a senha imediatamente.
• Habilite bloqueio por biometria para aprovações quando disponível.
• Use senhas longas e únicas; prefira um gerenciador de senhas.

Contra medidas para administradores

• Configure limites de taxa para notificações push por conta.
• Exigir provas adicionais (por exemplo, número exibido na tela de login) antes de aceitar.
• Alertas de segurança e bloqueio automático após tentativas repetidas.

2. Engenharia social para aprovação de push

Descrição

O atacante convence a vítima a aprovar um prompt via chamada, mensagem ou chat, se passando por suporte técnico ou colega.

Como funciona

• O invasor já possui a senha ou obtém acesso inicial.
• Faz contato com a vítima e solicita que ela aprove o login para “verificação”.
• Após a aprovação, o invasor finaliza a sessão.

Como se proteger

• Não compartilhe senhas, códigos TOTP ou aprovações de push com ninguém.
• Verifique sempre a origem do contato. Empresas legítimas nunca pedem aprovação para acesso em nome do usuário.
• Leia o texto do prompt antes de aprovar. Muitos prompts incluem detalhes do local ou do dispositivo.

3. Exploração do fallback por SMS

Descrição

Contas que oferecem push e, ao mesmo tempo, permitem SMS como método alternativo são vulneráveis. O invasor pode trocar o método para SMS e explorar fraquezas do sistema de telefonia, como troca de SIM ou reciclagem de números.

Riscos do SMS

• SIM swap: atacante transfere número para outro cartão SIM.
• Reciclagem de números: provedores reatribuem números antigos a novos donos.
• Interceptação por operadoras ou ataques ao SS7 em redes legadas.

Mitigações

• Desative SMS como método 2FA quando possível.
• Se o número for obrigatório, use um número dedicado e monitore alterações.
• Exija verificações adicionais antes de permitir mudança de método 2FA.

4. Aprovação automática a partir de dispositivo infectado

Descrição

Malware com permissões avançadas (acessibilidade, administrador do dispositivo) pode simular toques ou aprovar prompts automaticamente. Também pode ler o conteúdo da tela.

Prevenção

• Mantenha o sistema operacional e apps atualizados.
• Evite instalar apps fora das lojas oficiais.
• Revise permissões e remova apps suspeitos.
• Use soluções MDM/EMM em dispositivos corporativos.

5. Ataque por overlay falso

Descrição

Um malware cria uma sobreposição (overlay) que mostra uma solicitação aparentemente inócua — por exemplo, pedir para ativar otimização de bateria — por cima do prompt real. O usuário aprova, e o malware aprova o login por baixo.

Como detectar e agir

• Prompts que surgem em sequência sem contexto do que você está fazendo são suspeitos.
• Se achar que o dispositivo está comprometido, desconecte-se da rede, remova apps recentes e faça varredura com antivírus confiável.
• Em casos corporativos, reprovisionar o dispositivo é a via mais segura.

Comparação entre métodos de 2FA

• Push (prompt): boa usabilidade, depende da segurança do dispositivo.
• TOTP (códigos): resistente a notificações forçadas, sujeito a phishing em telas falsas.
• SMS: fraco contra SIM swap e reciclagem.
• Chave de segurança (FIDO2/WebAuthn): alto nível de resistência a phishing e ataques do tipo push.

Alternativas e recomendações de autenticação

• Chaves de segurança físicas (YubiKey ou similares) para contas críticas.
• Passkeys e WebAuthn para experiência sem senha e resistente a phishing.
• TOTP gerado por app autenticador como camada adicional.
• Políticas de acesso condicional: bloquear logins de locais/sistemas anômalos.

Modelos mentais para priorizar defesa

• Defesa em profundidade: combine proteção no dispositivo, na conta e na rede.
• Reduza a superfície de ataque: menos métodos alternativos significam menos vetores.
• Confiança mínima: verifique sempre; não presuma autenticidade de solicitações inesperadas.

Checklist por perfil

Checklist rápido para usuários finais

• Nunca aprove solicitações não solicitadas.
• Ative biometria para aprovações quando disponível.
• Use gerenciador de senhas e senhas únicas.
• Atualize o sistema operacional e apps.
• Remova número de telefone da conta se não for obrigatório.

Checklist para administradores de TI

• Desative SMS como fallback em contas corporativas.
• Exigir chaves de segurança para acesso a sistemas críticos.
• Implementar autenticação baseada em risco e políticas de bloqueio por tentativa.
• Fornecer MDM para dispositivos corporativos.

Checklist para equipes de segurança (SecOps)

• Monitorar tentativas repetidas de push por usuário.
• Alertar automaticamente o usuário e bloquear sessão após múltiplas rejeições/aceitações atípicas.
• Auditar mudanças de método 2FA e alterações de número de telefone.

Playbook de resposta a incidente para comprometimento via push

1. Detectar

• Indicadores: logins bem-sucedidos de local incomum, múltiplas rejeições, usuário reportando prompts.

2. Isolar

• Forçar logout de todas as sessões ativas.
• Suspender a conta se necessário.

3. Remediar

• Resetar senha imediatamente e invalidar tokens ativos.
• Remover métodos 2FA inseguros (SMS) e reconfigurar 2FA segura.
• Se houver suspeita de dispositivo comprometido, instruir o usuário a reprovisionar ou trocar o dispositivo.

4. Recuperar

• Restaurar acesso após verificação por meio de canais seguros.
• Revisar logs para ações do invasor e impacto.

5. Aprender

• Atualizar regras de detecção e políticas de segurança.
• Comunicar lições aprendidas aos usuários.

Medidas de hardening recomendadas

• Encoraje ou obrigue o uso de chaves de segurança para contas de alto privilégio.
• Bloqueie fallback por SMS onde for possível.
• Ative biometria local para confirmar aprovações.
• Use autenticação baseada em risco (localização, device fingerprinting, reputação de IP).
• Implemente bloqueios e limites de taxa para notificações push.
• Forneça e exija MDM para dispositivos corporativos.

Privacidade e conformidade

• Minimize o armazenamento de números de telefone quando não necessário.
• Documente finalidades e bases legais para processamento de dados de autenticação.
• Mantenha logs relevantes pelo tempo necessário para investigação, respeitando retenção mínima conforme lei aplicável.
• Notifique usuários e autoridades conforme obrigações legais se ocorrer violação que envolva dados pessoais.

Glossário rápido

• 2FA: autenticação de dois fatores.
• Push: notificação enviada ao dispositivo para aprovar login.
• TOTP: senha de uso único baseada em tempo.
• SIM swap: transferência fraudulenta de número para outro SIM.
• FIDO2/WebAuthn: padrões para autenticação sem phishing.

Cenários em que a autenticação por push pode falhar

• Dispositivo comprometido com malware de overlay.
• Usuário induzido por engenharia social.
• Contas que permitem SMS como fallback.
• Aplicativo autenticador inseguro ou permissão excessiva concedida.

Adoção prática e maturidade

• Nível 1 (inicial): push habilitado, SMS como fallback.
• Nível 2 (intermediário): push sem SMS, políticas de bloqueio simples.
• Nível 3 (avançado): chaves de segurança para contas críticas, autenticação baseada em risco, MDM obrigatório.

Sugestão de mensagem para redes sociais

OG title: Proteja-se contra ataques que burlam 2FA por push

OG description: Aprenda os ataques comuns ao 2FA por push — cansaço do MFA, engenharia social, fallback por SMS e overlays — e passos práticos para mitigar.

Anúncio curto (100–200 palavras)

A autenticação por push melhora a experiência e aumenta a segurança em relação ao SMS, mas não elimina todos os riscos. Ataques como cansaço do MFA, engenharia social, fallback por SMS e malware com overlays podem levar à aprovações não autorizadas. Proteja-se: nunca aceite solicitações não solicitadas, desative SMS quando possível, use chaves de segurança para contas críticas e mantenha seu dispositivo seguro com atualizações e permissões controladas. Equipes de TI devem aplicar políticas de bloqueio, MDM e monitoramento de tentativas suspeitas. Em caso de comprometimento, siga um playbook claro: isole, redefina senhas, reprovisione dispositivos e revise logs. Adotar defesa em profundidade e exigir métodos resistentes a phishing reduz muito do risco.

Resumo

• Push 2FA é conveniente, mas depende do dispositivo e do fluxo de aprovação.
• Ataques comuns: cansaço do MFA, engenharia social, SMS fallback, malware e overlays.
• Use chaves de segurança e políticas de risco para contas críticas.
• Tenha um plano de resposta e proteja dispositivos aprovadores.

Importante: Se você receber uma aprovação inesperada, troque a senha imediatamente e revise métodos de 2FA.