Durante anos, o uso de autenticação multifator (MFA) foi considerado uma das melhores práticas de segurança digital. Ao exigir mais de uma forma de verificação, o MFA prometia dificultar o acesso indevido a sistemas corporativos.
No entanto, o cenário atual de ameaças cibernéticas evoluiu drasticamente. Ataques sofisticados como AiTM (Adversary-in-the-Middle), roubo de cookies de sessão e infostealers estão tornando o MFA tradicional insuficiente para proteger empresas contra invasões e vazamentos de dados.
Neste artigo, vamos explorar por que o MFA não é mais suficiente, os tipos de ataques que o comprometem, e como camadas adicionais de são essenciais para garantir a segurança da informação nas empresas.
O elo mais fraco da segurança: usuários e dispositivos
Como já abordamos em outro artigo do blog sobre Proteção de Endpoints, os usuários e seus dispositivos continuam sendo o elo mais fraco da segurança da informação. Mesmo com MFA ativado, não é necessário muito esforço para que um atacante obtenha acesso aos dados de funcionários a partir de ataques de phishing bem sucedidos.
Segundo o relatório da Microsoft, mais de 600 milhões de ataques de identidade são bloqueados diariamente.
Infostealers, por exemplo, são malwares que podem ser instalados a partir de um e-mail de phishing, roubam credenciais, cookies de sessão, dados de preenchimento automático e até carteiras de criptomoedas. Segundo o relatório da Check Point, houve um aumento de 58% nos ataques com infostealers em 2024, com foco em acesso corporativo por meio de dispositivos pessoais (BYOD).
O que é MFA e por que ele está sendo burlado
A autenticação multifator (MFA) é uma prática de segurança que exige que o usuário forneça duas ou mais formas de verificação antes de acessar um sistema. Em vez de depender apenas de uma senha, que pode ser facilmente descoberta, reutilizada ou vazada, o MFA adiciona camadas de proteção, como um PIN ou token recebido via e-mail ou por aplicativo de MFA (ex.: Microsoft Authenticator), biometria como impressão digital ou reconhecimento facial, entre outros.
A ideia central é não depender apenas de uma senha, mas sim combiná-la com uma camada extra de autenticação.
Essa abordagem reduz significativamente o risco de acesso não autorizado, especialmente em ambientes corporativos. A Microsoft, por exemplo, utiliza o MFA como parte da plataforma Entra ID para proteger identidades e acessos em nuvem e dispositivos.
Contudo, a autenticação multifator não é uma solução mágica ou definitiva contra a violação de identidade e acesso de usuários a sistemas e aplicações. Ele deve ser parte de uma estratégia de segurança que possui diferentes camadas, como abordaremos adiante.
O que o MFA é:
- Um mecanismo de defesa que exige múltiplas formas de verificação.
- Um forte dissuasor contra ataques de phishing, força bruta e roubo de credenciais.
- Um componente essencial de arquiteturas de confiança zero (Zero Trust).
O que o MFA não é:
- Uma garantia de inviolabilidade.
- Imune a engenharia social ou ataques de fadiga.
- Algo que pode ser “implementado e esquecido” — requer monitoramento contínuo e atualização constante.
Como hackers estão burlando o MFA
Apesar de ser uma camada essencial de segurança, Cibercriminosos estão desenvolvendo técnicas cada vez mais sofisticadas para contornar essa proteção.
Imagine o seguinte cenário: um e-mail “inocente” te avisa que você precisa atualizar a sua senha da plataforma de colaboração da empresa (como o Microsoft 365 ou Google Workspace). Você clica e vai para uma página muito semelhante à verdadeira, porém é uma falsa criada por um hacker.
Em tempo real, as credenciais de login e senha, assim como a autenticação multifator, são automaticamente copiadas para que o hacker roube o seu aceso e faça login na plataforma lá pela máquina dele. Pronto, a partir daqui ele tem o acesso que precisa para começar o ataque, com a instalação de um ransomware, roube informações privilegiadas, entre outros.
Essa e outras formas de golpes criativas, especialmente na era da inteligência artificial, tem sido um pesadelo para muitas empresas. Entre os principais métodos de ataque estão:
1. AiTM (Adversary-in-the-Middle)
Esse tipo de ataque intercepta a comunicação entre o usuário e o sistema, capturando credenciais e tokens de sessão em tempo real. Mesmo após o usuário passar pela MFA, o atacante pode usar os dados interceptados para se autenticar como se fosse o usuário legítimo.
2. Roubo de cookies de sessão
Cookies armazenados nos navegadores permitem que o usuário permaneça logado sem precisar se autenticar novamente. Se esses cookies forem roubados por malwares ou infostealers, o atacante pode acessar sistemas corporativos sem passar pela MFA.
3. Infostealers
Malwares especializados em coletar informações sensíveis, como senhas salvas, dados de preenchimento automático, credenciais de VPN e tokens de autenticação. Esses dados são vendidos em fóruns clandestinos e usados para invadir redes corporativas. O relatório da Check Point destaca que dispositivos pessoais infectados por infostealers são responsáveis por grande parte dos acessos indevidos a redes corporativas. Mais de 90% das empresas comprometidas tiveram credenciais corporativas vazadas em logs de infostealers antes do ataque.
4. MFA Fatigue (fadiga de autenticação)
Ataques que exploram o cansaço do usuário ao receber múltiplas notificações de autenticação push. O atacante tenta repetidamente até que o usuário, por engano ou cansaço, aprove uma solicitação de login.
5. SIM Swapping
Técnica em que o atacante convence a operadora de telefonia a transferir o número da vítima para um chip sob seu controle, interceptando códigos de MFA enviados por SMS.
6. Phishing avançado com QR Code ou páginas clonadas
Campanhas de phishing que simulam páginas legítimas e capturam credenciais e códigos de MFA em tempo real, muitas vezes com AiTM embutido.
Gestão de identidade e acesso: o novo pilar da segurança
A gestão de identidade e acesso (IAM) é o conjunto de políticas e tecnologias que garantem que apenas usuários autorizados acessem os recursos certos, no momento certo. Com o crescimento do trabalho remoto e da adoção de nuvem, a IAM se tornou ainda mais crítica.
Confira a seguir, estratégias essenciais para aumentar o nível de proteção de endpoints na sua empresa:
Microsoft Entra ID e Intune: dupla poderosa
De olho nas tendências de segurança da informação, a Microsoft desenvolve diferentes recursos para ajudar as empresas a se protegerem, com destaque para duas que formam uma dupla essencial na nova era dos ataques.
- Microsoft Entra ID: permite configurar autenticação baseada em risco, acesso condicional, e MFA resistente a phishing. Ou seja, eleva a dificuldade de acesso com base em políticas e inteligentes.
- Microsoft Intune: garante que apenas dispositivos gerenciados e compatíveis possam acessar recursos corporativos, aplicando políticas de conformidade e proteção de dados.
Essa dupla é uma combinação poderosa, especialmente para empresas que utilizam o Microsoft 365, uma das principais suítes de produtividade, colaboração e comunicação corporativa.
MFA resistente a phishing: o novo padrão
O MFA tradicional, baseado em SMS ou aplicativos autenticadores, pode ser burlado por AiTM e outras técnicas. Por isso, é fundamental migrar para métodos de autenticação resistentes a phishing, como:
- FIDO2 (chaves físicas ou biometria)
- Windows Hello
- Autenticação baseada em certificado
- Passkeys
Essas tecnologias garantem que mesmo que um atacante intercepte credenciais, não conseguirá reutilizá-las sem o dispositivo físico ou biometria do usuário.
Políticas de segurança bem configuradas: o diferencial
Não basta ter tecnologia de ponta, é preciso configurá-la corretamente. Algumas boas práticas incluem:
- Bloquear autenticação legada (IMAP, POP, SMTP)
- Aplicar acesso condicional com base em localização, dispositivo e risco
- Monitorar alterações em contas privilegiadas
- Auditar logs de autenticação e atividades suspeitas
- Treinar usuários para reconhecer tentativas de phishing e engenharia social
O relatório da Microsoft mostra que empresas que ativaram políticas de segurança padrão tiveram 80% menos incidentes de comprometimento de identidade.
Segurança em camadas é o caminho
Os dias em que o MFA era suficiente estão no passado. Os atacantes evoluíram, assim como as tecnologias de proteção, portanto basta que as empresas acompanhem essa corrida pela segurança da informação.
Empresas que ainda operam com modelos de segurança ultrapassados estão vulneráveis, porém muitas vezes nem sabem disso.
Com mais de 20 anos de experiência e mais de 1.000 empresas atendidas em todo o Brasil, a Tecjump oferece soluções completas de segurança da informação e pode te ajudar a manter todo o seu ambiente de TI operando de forma segura e eficiente. Fale conosco hoje mesmo e descubra como podemos elevar o nível da sua segurança cibernética com soluções sob medida para o seu negócio.
