A autenticação dupla não é mais um escudo absoluto contra ataques cibernéticos. Uma ferramenta utilizada por cibercriminosos permite quebrar a autenticação de dois fatores. A operação baseia-se no sequestro de cookies de sessão através de um portal de conexão falsa colocado entre você e a plataforma oficial. Explicações.
A autenticação dupla é frequentemente apresentada como uma muralha quase infalível contra ataques cibernéticos. Cada vez mais difundido, o mecanismo adiciona uma camada adicional de segurança às suas contas online. Além da sua senha, você deverá validar sua conexão através de um código enviado por SMS, e-mail ou através de um aplicativo dedicado. Este código dificulta a ação dos hackers, mesmo que eles já tenham roubado suas credenciais.
Com o tempo, infelizmente, os hackers desenvolveram uma série de técnicas para contornar a autenticação dupla. Por exemplo, eles podem interceptar o código de conexão enviado ao usuário, usando um robô controlado por IA, ou até mesmo adivinhar o código exibido na tela usando pixels.
A importância dos cookies de sessão
Cada vez mais, os cibercriminosos estão usandouma ferramenta chamada Evilginx para atingir seus objetivos e contornar a autenticação multifatorial, relatam pesquisadores da Infoblox. Esta é uma ferramenta de phishing que funciona como um portal de login falso capaz de interceptar credenciais e, o mais importante, cookies de sessão.
UM cookie de sessão é um pequeno arquivo temporário que o site salva no navegador para reconhecer um usuário durante sua visita. Ele contém um identificador de sessão exclusivo que permite ao servidor saber que este navegador já está autenticado. O cookie é excluído quando o usuário sai, fecha o navegador ou quando a sessão expira no servidor.
Leia também: as 10 maiores ameaças cibernéticas que ameaçam 2026
Entre a vítima e o portal de conexão
Os pesquisadores descrevem Evilginx como “uma estrutura avançada de phishing de código aberto” especializada em ataques de “adversário intermediário”. Concretamente, Evilginx é colocado entre a vítima e o local real ao qual ela deseja se conectar. Pode ser o site de um banco, uma rede social ou até mesmo uma plataforma financeira.
Evilginx “é amplamente utilizado por cibercriminosos para contornar a segurança da autenticação multifatorial”. Antes do ataque cibernético, os hackers instalarão o Evilginx em um servidor de computador e configurar um domínio fictício. É este domínio que será usado para prender os internautas. Este serve como proxy, ou seja, é um servidor intermediário que retransmite discretamente todas as solicitações para o serviço real. Em última análise, o internauta se conecta ao serviço real, através de um portal malicioso.
Leia também: Aqui estão as 7 mensagens SMS fraudulentas que estão causando estragos na França
Como ocorre o ataque cibernético
O ataque começa com o envio do domínio fraudulento ao alvo, seja por e-mail, SMS ou mensagem nas redes sociais. O alvo irá abra este site falso enquanto está convencido de que está indo para uma plataforma autêntica. O conteúdo é legítimo. O internauta vê o endereço HTML do serviço e também um cadeado HTTPS real, que geralmente indica que um site é seguro.
A vítima então insere seu nome de usuário e senha na página capturada. A página maliciosa transferirá as informações para o portal de login real. A conta do alvo está, portanto, sendo aberta na plataforma autêntica. Ao mesmo tempo, o site intermediário irá capturar os identificadores da vítima. Os mecanismos de defesa do site real serão ativados. O site fica assim reivindicar código de login previstas no contexto da dupla autenticação. O internauta receberá então o código por SMS, por e-mail ou através do seu aplicativo de autenticação multifator. Ele irá inserir esse código na interface, de acordo com seus hábitos.
Aqui, novamente, o portal intermediário transmitirá o código de conexão para o site real. É quando os cibercriminosos atingem seus objetivos. O servidor intermediário configurado com Evilginx irá interceptar cookie de login gerado quando o código de login legítimo foi inserido. Este cookie informa ao site que o usuário foi autenticado e que está tudo normal. O cookie passa primeiro pelo servidor Evilginx, que o copia antes de enviá-lo de volta ao navegador da vítima.
Ao final da manipulação, os hackers pegam o cookie de conexão e o importam para o seu próprio navegador. Assim, eles são capazes de navegar na conta do alvo sem o menor obstáculo. Os hackers podem ler e-mails, alterar configurações de segurança, movimentar dinheiro ou recuperar dados confidenciais até que o cookie de sessão interceptado expire ou seja revogado. O cookie indica que a conta já está autenticada. Portanto, não há mais necessidade de comunicar um código de autenticação. Com uma ferramenta simples de código aberto, os hackers conseguiram contornar um mecanismo tão seguro quanto a autenticação dupla.
Leia também: Este botnet é responsável pelo pior ataque DDoS da história da Internet
Um ataque cibernético imperceptível
Do lado da vítima é impossível perceber alguma coisa. Na verdade, o alvo encontra-se conectado ao site real. Tudo está indo normalmente. O internauta só entenderá o engano quando transações fraudulentas terá sido notado pelo banco ou essa informação terá mudado sem o seu conhecimento. O ataque baseia-se unicamente no facto de o cookie da sessão ter sido copiado de passagem, o que o utilizador não consegue ver no seu navegador. Em suma, é uma intrusão invisível.
Para limitar o risco de ataques deste tipo, recomenda-se desconfiar sistematicamente dos links recebidos inesperadamente e verifique o endereço do remetente e do destino antes de clicar em qualquer coisa. Os pesquisadores da MalwareBytes, que transmitem a descoberta da Infoblox, aconselham especialmente o uso, sempre que possível, de um método de autenticação multifatorial que seja resistente ao phishing. É o caso das chaves de segurança física, como a Yubikey.
O truque mais simples para se proteger contra Evilginx é simplesmente revogar todas as sessões abertas em suas contas. Depois que todas as sessões forem cortadas, você deverá se reconectar, com senha e autenticação multifator, para estabelecer uma nova sessão íntegra. Esta nova ligação gera novos cookies de sessão, o que bloqueia a utilização de possíveis cookies comprometidos.
👉🏻 Acompanhe novidades de tecnologia em tempo real: adicione 01net às suas fontes no Google, assine nosso canal no WhatsApp ou siga-nos em vídeo no TikTok.
Fonte :
Infoblox