Els ciberdelinqüents poden eludir l’autenticació multifactor?

L’autenticació multifactor (MFA) és una mesura de seguretat clau per protegir comptes, però els ciberdelinqüents han ideat enginyoses estratègies per eludir-la. Avui dia, fins i tot amb MFA activat, no estem completament protegits davant de possibles bretxes.

Per què i com busquen eludir la MFA?

Els ciberdelinqüents intenten accedir a comptes protegits per diversos motius: robar dades personals, cometre fraus econòmics, obtenir informació confidencial d’empreses, o fins i tot vendre l’accés a aquests comptes al mercat negre. Per aconseguir-ho, dissenyen mètodes per enganyar tant la tecnologia com l’usuari, explotant debilitats i errors humans.

A continuació, us expliquem les tècniques més utilitzades:

Ataqui Man in the Middle: Interceptació de dades

En aquest tipus d’atac, el ciberdelinqüent es posiciona entre l’usuari i el lloc d’autenticació i intercepta la informació enviada, com ara els codis MFA. Per aconseguir-ho, creeu una pàgina d’inici de sessió falsa que imita la real. Quan la víctima introdueix les credencials, l’atacant les captura i les utilitza per accedir al servei legítim.

Això pot passar, per exemple, si us connecteu a una xarxa Wi-Fi pública que hagi estat alterada de manera maliciosa. En accedir a un lloc web, podries ser redirigit a una pàgina falsa que sassembla a l’original, on robaran les teves contrasenyes i codis d’autenticació múltiple.

Com protegir-se? Fes servir aplicacions d’autenticació en lloc de rebre codis per SMS, ja que les apps són menys vulnerables a aquest tipus d’atacs. Empra plataformes que detectin activitat inusual i alertin l’usuari. Per exemple, podeu utilitzar Google Authenticator o Microsoft Authenticator.

Fatiga MFA: Bombardeig de notificacions

Aquest mètode, conegut com a «bombardeig de MFA», és una tècnica psicològica.
L’atacant intenta iniciar sessió repetidament al compte de la víctima, cosa que genera una sèrie de notificacions MFA al dispositiu de l’usuari. L’objectiu és que la persona, per error o cansament, aprovi la sol·licitud i doni accés a l’atacant.

Com protegir-se? Reviseu acuradament cada sol·licitud d’autenticació abans d’aprovar-la. Si rebeu notificacions inesperades, ignoreu-les i canvieu la vostra contrasenya immediatament. Algunes aplicacions permeten afegir un missatge personalitzat a cada intent d’inici de sessió, cosa que ajuda a confirmar si la sol·licitud és legítima.

Recorda que el codi MFA serveix per confirmar que ets tu qui inicia sessió, però prèviament cal introduir la contrasenya. Per això, protegir la vostra clau d’accés és també fonamental. Fes servir contrasenyes aleatòries i evita errors que puguin comprometre els teus comptes.

SIM Swapping: robatori de la SIM

En aquest atac, el ciberdelinqüent contacta amb l’operadora mòbil i es fa passar per la víctima per obtenir una còpia de la targeta SIM. Una vegada aconseguit, rep missatges de text i trucades, inclosos els codis MFA, al dispositiu.

Encara que aquest atac no és senzill, ja que les operadores compten amb mesures de seguretat per prevenir-lo, pot passar si obtenen prou informació personal per suplantar la teva identitat.

Com protegir-se? Si la vostra MFA es basa en SMS, sol·licita proteccions addicionals al vostre operador, com ara un PIN per a canvis al vostre compte. Usa aplicacions d’autenticació que generin codis al dispositiu, sense dependre de SMS.

Enginyeria social: Hackeig a l’usuari

En aquest tipus d’atac, els ciberdelinqüents no ataquen la tecnologia sinó la persona. A través de tècniques d’enginyeria social, es fan passar per tècnics o persones de confiança per obtenir directament el codi d’autenticació o fer un restabliment de contrasenya. Aquest mètode s’aprofita del desconeixement o la manca de precaució de l’usuari.

Com protegir-se? Estigues alerta davant de sol·licituds d’accés o canvis de contrasenya, especialment si provenen de contactes sospitosos. Les empreses poques vegades sol·liciten codis d’autenticació o dades confidencials per telèfon o correu electrònic. Per exemple, el vostre banc no us demanarà mai un codi que us hagin enviat per SMS.

Phishing-as-a-Service (PaaS)

Lamentablement, existeixen kits de Phishing-as-a-Service (PaaS) que permeten als ciberdelinqüents llançar atacs gairebé sense coneixements tècnics. Aquestes eines estan dissenyades per evadir la MFA, oferint mètodes i plataformes fàcils dutilitzar per al robatori de dades. Qualsevol pot adquirir aquests kits a la Dark Web, augmentant el risc datac.

Com protegir-se? Implementa una estratègia de seguretat a capes. Utilitza eines de detecció de pesca. Educa els empleats o usuaris sobre com identificar intents de pesca per reduir considerablement els riscos.

Tot i que la MFA continua sent una eina valuosa, no és infal·lible. Estar al corrent d’aquestes tècniques i aplicar precaucions addicionals pot augmentar significativament la seguretat dels vostres comptes. No deixeu tota la protecció en mans d’una sola eina; adoptar diverses capes de defensa et permetrà estar un pas endavant davant dels ciberdelinqüents.

Facebook
Twitter
LinkedIn
WhatsApp
Resumen de privacidad

ESOLVO GLOBAL, SL es compromet a protegir la privacitat dels usuaris que accedeixin a aquesta web i/o qualsevol dels seus serveis. La utilització de la web i/o de qualsevol dels serveis oferts per ESOLVO GLOBAL, SL implica l’acceptació per l’usuari de les disposicions contingudes en la present Política de Privacitat i que les seves dades personals siguin tractades segons s’estipula en ella. Si us plau, tingui en compte que tot i que hi pugui haver enllaços de la nostra web a d’altres webs, aquesta Política de Privacitat no s’aplica a les webs d’altres companyies o organitzacions a les que la web estigui redirigida. ESOLVO GLOBAL, SL no controla el contingut de les webs de tercers ni accepta qualsevol responsabilitat pel contingut o les polítiques de privacitat d’aquestes webs.