Acesso remoto pode ser usado para burlar autenticação em duas etapas

A autenticação em dois ou múltiplos fatores é comumente considerada uma das principais medidas de segurança contra phishing e o roubo de credenciais. Mas essa ideia pode cair por terra com uma prova de conceito apresentada pelo especialista conhecido apenas como mr.d0x, que mostrou como um sistema de acesso remoto, sob circunstâncias específicas, pode fazer com que a vítima acabe inserindo suas informações de acesso diretamente em uma máquina controlada por criminosos.

• Brasil é o terceiro país mais atingido pelo ransomware LockBit
• Cibercriminosos estão mais perigosos devido ao compartilhamento de informações

Na exploração, o pesquisador usou o software de acesso remoto noVNC, que permite o uso de desktops à distância por meio do navegador, e o modo quiosque de navegadores populares como forma de esconder isso. Do outro lado da tela, em uma máquina controlada pelo especialista, estavam os logins para serviços populares como Facebook e Google, de forma que a vítima, ao inserir suas credenciais e também o código de acesso temporário, estaria autorizando outro dispositivo a acessar seu perfil.

No modo quiosque, as páginas são abertas em tela cheia e à frente de qualquer outra aplicação, com prioridade, o que ajuda a ocultar o fato de que o usuário está, na verdade, conectado a um PC remoto e não ao próprio serviço que deseja acessar. Então, basta usar métodos comuns de phishing, com links que ocultem a presença do noVNC, para lançar ataques potencialmente eficazes.

De acordo com mr.d0x, o método foi desenvolvido em resposta a medidas de segurança que vêm sendo implementadas desde 2019 por grandes serviços online do Google e da Microsoft, por exemplo. Até agora, o método mais comum de obtenção de credenciais de autenticação em dois fatores são os golpes do tipo man-in-the-middle ou o uso de proxies reversos; em ambos os casos, porém, as medidas estão sendo bloqueadas, justamente como forma de prevenção.

Além de obter credenciais de acesso, códigos e tokens de sessão, o método também pode ser usado para inserir códigos maliciosos na página, levando a mais explorações. Por enquanto, se trata de uma prova de conceito, mas o especialista aponta que esse tipo de exploração deve começar a aparecer por agentes criminosos no futuro próximo, justamente, por conta das medidas de proteção contra golpes usuais que envolvem a autenticação em múltiplas etapas.

Felizmente, enquanto a técnica em si é um bocado arrojada, desconfiar de e-mails e não clicar em links segue como a melhor alternativa para prevenção. O usuário não deve inserir credenciais de acesso a partir de URLs que cheguem dessa forma e deve prestar atenção nos sites acessados, sempre se certificando de que está no ambiente legítimo do serviço procurado.

Fonte: mr.d0x