oHub Base TI / Cibersegurança e Proteção de Dados / Gestão de Acessos e Identidade / Artigos / Riscos de MFA e como mitigá-los (MFA fatigue, SIM swap)
Neste artigo: Como este tema funciona na sua empresa MFA fatigue: o ataque social que funciona SIM swap: roubo de número celular Força de fator: comparação de métodos de MFA Phishing de MFA e social engineering Conformidade e recomendações de padrões Sinais de que sua MFA está com risco residual Caminhos para mitigar riscos de MFA Precisa auditar segurança de sua MFA? Perguntas frequentes O que é MFA fatigue e como prevenir? Como ataques de SIM swap comprometem MFA? MFA push notification é segura contra social engineering? Quais são os limites de segurança de MFA? Como detectar tentativas de comprometimento de MFA? Qual é o método MFA mais resistente a ataque? Referências
oHub Base TI Cibersegurança e Proteção de Dados Gestão de Acessos e Identidade

Riscos de MFA e como mitigá-los (MFA fatigue, SIM swap)

Principais vetores de ataque contra MFA e controles para mitigar riscos residuais.
Atualizado em: 24 de abril de 2026
Neste artigo: Como este tema funciona na sua empresa MFA fatigue: o ataque social que funciona SIM swap: roubo de número celular Força de fator: comparação de métodos de MFA Phishing de MFA e social engineering Conformidade e recomendações de padrões Sinais de que sua MFA está com risco residual Caminhos para mitigar riscos de MFA Precisa auditar segurança de sua MFA? Perguntas frequentes O que é MFA fatigue e como prevenir? Como ataques de SIM swap comprometem MFA? MFA push notification é segura contra social engineering? Quais são os limites de segurança de MFA? Como detectar tentativas de comprometimento de MFA? Qual é o método MFA mais resistente a ataque? Referências
Compartilhar:
Este conteúdo foi gerado por IA e pode conter erros. ⚠️ Reportar | 💡 Sugerir artigo

Como este tema funciona na sua empresa

Pequena empresa

MFA é implementado (SMS ou app), mas sem controles compensatórios. Vulnerável a MFA fatigue, SIM swap. Usuários não conhecem riscos. Detecção de tentativas múltiplas é manual.

Média empresa

MFA é implementado com TOTP (mais seguro que SMS). Políticas de educação sobre MFA fatigue começam. Escalation manual para múltiplas tentativas de MFA falhadas. Começo de análise de risco por acesso anômalo.

Grande empresa

Múltiplas opções de MFA (biometria, hardware tokens, TOTP). Análise contínua de risco detecta MFA fatigue automaticamente. Bloqueio de SIM swap (validação de carrier). Monitoramento de padrão anômalo de acesso (impossível travel, novo local).

Riscos de MFA incluem MFA fatigue (ataque social disparando múltiplos prompts), SIM swap (roubo de número de celular para interceptar SMS), phishing de MFA (usuário enganado a compartilhar código), e acessos anormais que conseguem contornar MFA. MFA é defesa poderosa, mas não é impenetrável. Controles compensatórios reduzem risco residual: educação, detecção de anomalia, fatores mais fortes que SMS.

MFA fatigue: o ataque social que funciona

MFA fatigue funciona assim: atacante tem credencial de usuário (obtida via phishing, data breach, ou compromise). Tenta fazer login repetidamente. Sistema dispara múltiplos prompts de MFA no telefone do usuário. Usuário, frustrado após 10-15 prompts, finalmente clica "permitir". Atacante consegue acesso[1].

Cenário real:

  • Atacante tem senha de CEO (de data breach anterior)
  • Tenta login, sistema pede MFA
  • Dispara 15 prompts para o telefone do CEO
  • CEO está em meeting, vê notificações aparecendo, fica confuso, clica "permitir" para parar as notificações
  • Atacante consegue acesso

Defesas contra MFA fatigue:

  • Limite de tentativas: Após 3 failed MFA attempts, bloqueia login por 15+ minutos. Força atacante a parar.
  • Análise de risco: Detecta padrão anômalo ("login de novo IP, novo país"). Se risco é alto, nega push notification e requer TOTP ou hardware token em vez.
  • Educação: Treinar usuários: "Se receber muitos prompts de MFA que não solicitou, ignore. Não clique permitir".
  • Biometria: Biometria (rosto, fingerprint) em push notification reduz fatigue — usuário valida com cara/dedo rápido, não prensa botão cansado.

SIM swap: roubo de número celular

SIM swap é ataque onde criminoso consegue convencer operadora de celular a transferir número de telefone para SIM card controlado pelo criminoso. Resultado: atacante recebe SMS destinados ao usuário (incluindo códigos MFA). SMS é menos seguro que TOTP especificamente por isso[2].

Passos do ataque:

  1. Atacante pesquisa dados públicos de vítima (CPF, data de nascimento, nome da mãe) — geralmente de data breaches
  2. Liga para operadora se passando por vítima, solicita transferência de SIM
  3. Se atendente não valida adequadamente, SIM é transferida
  4. SMS MFA agora vai para atacante
  5. Atacante consegue resetar senha, acessar email, banco

Defesas contra SIM swap:

  • Usar TOTP/Hardware tokens em vez de SMS: Imune a SIM swap — código é gerado no dispositivo, não enviado via SMS.
  • Biometric com operadora: Algumas operadoras oferecem validação biométrica para transferência de SIM (selfie, etc). Reduz risco significativamente.
  • Notificação de transferência de SIM: Operadora notifica usuário quando SIM é transferida. Usuário consegue reverter rapidamente.
  • MFA via app, não SMS: Força MFA via autenticador (Google Authenticator, Microsoft Authenticator) em vez de SMS.

Força de fator: comparação de métodos de MFA

Nem todo MFA é criado igual. Resistência a ataque varia:

  • SMS: Vulnerável a SIM swap, man-in-the-middle em redes 4G, social engineering. NÃO recomendado como principal MFA.
  • TOTP (Time-based One-Time Password, ex: Google Authenticator): Imune a SIM swap, resiste phishing se usuário for vigilante. Recomendado como padrão.
  • Push notification: Vulnerável a MFA fatigue. Mitigado com análise de risco e biometria em push.
  • Hardware token (ex: YubiKey): Imune a SIM swap, phishing, MFA fatigue. Mais caro, requer distribuição física. Recomendado para contas críticas (admin, CEO).
  • Biometria (face, fingerprint): Resiliente a phishing e social engineering. Não pode ser roubado como senha. Recomendado como fator adicional (MFA + biometria).

Phishing de MFA e social engineering

Usuário é enganado a compartilhar código MFA via phishing. Cenário:

  • Email fake de "Google Security": "Detectamos login suspeito. Confirme seu código MFA aqui para verificar sua identidade"
  • Usuário clica link, vê tela que parece Google
  • Usuário recebe código MFA legitimo no telefone (porque é tentativa de login legítima sendo feita por atacante)
  • Usuário entra código no site fake
  • Atacante agora tem credencial e código MFA — consegue login

Defesa é educação: "Google nunca vai pedir seu código MFA via email ou link". Além de detecção técnica: validar if código é sendo usado imediatamente (ou em IP/país diferente), denegar.

Pequena empresa

Implementar MFA com TOTP (não SMS). Treinar usuários sobre MFA fatigue. Monitorar tentativas falhadas manualmente. Custo: educação apenas.

Média empresa

TOTP obrigatório. Push notification com análise básica de risco. Educação contínua. Escalation automática para múltiplas tentativas falhadas. Custo: software de IAM base.

Grande empresa

Múltiplas opções (TOTP, push com biometria, hardware tokens). Análise contínua de risco detecta anomalia. Hardware tokens para contas críticas. MFA fatigue é bloqueado automaticamente. Custo: software avançado + hardware tokens para admins.

Conformidade e recomendações de padrões

NIST 800-63B (recomendação de autenticação) e OWASP recomenda: "MFA baseado em SMS não é seguro o suficiente. Use TOTP, push notification com análise de risco, ou hardware token"[3].

Muitas organizações ainda usam SMS por simplicidade (sem hardware, sem app obrigatório). Resultado: risco elevado de SIM swap e phishing. Decisão é trade-off: complexidade vs. segurança.

Sinais de que sua MFA está com risco residual

Se você se reconhece em dois ou mais cenários abaixo, considerar melhorias.

  • MFA é baseado em SMS como único fator
  • Sem limite de tentativas — usuário pode ser bombardeado com prompts MFA
  • Sem análise de risco — login de novo país/IP não dispara verificação adicional
  • Incidente de SIM swap já ocorreu em organização
  • MFA é push notification sem biometria em push
  • Contas críticas (admin, CEO) usam mesma MFA que usuários regulares
  • Usuários não foram treinados sobre MFA fatigue ou phishing de MFA

Caminhos para mitigar riscos de MFA

Melhorias internas

Viável para começar com educação e controles básicos.

  • Primeiro passo: Treinar usuários sobre MFA fatigue. Instruir ignorar múltiplos prompts.
  • Segundo passo: Migrar de SMS para TOTP onde possível
  • Tempo estimado: 4-8 semanas para educar e migrar maioria dos usuários
Com fornecedor de IAM

Recomendado para análise de risco avançada e hardware tokens.

  • Tipo de fornecedor: Microsoft Entra, Okta, Ping Identity (análise de risco), YubiKey (hardware tokens)
  • Vantagem: Análise contínua de risco, automação, conformidade
  • Resultado típico: Em 8-12 semanas, MFA com análise de risco implementado

Precisa auditar segurança de sua MFA?

Se MFA atual é baseado em SMS ou não tem controles de MFA fatigue, o oHub conecta você gratuitamente a especialistas em autenticação segura. Em menos de 3 minutos, descreva seu desafio.

Encontrar fornecedores de TI no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

O que é MFA fatigue e como prevenir?

MFA fatigue é quando atacante dispara múltiplos prompts até usuário clicar "permitir" por cansaço. Prevenção: limite de tentativas, análise de risco, biometria em push, educação de usuários.

Como ataques de SIM swap comprometem MFA?

Criminoso convence operadora a transferir SIM para número controlado por ele. SMS MFA agora vai para atacante. Defesa: usar TOTP em vez de SMS, validação biométrica com operadora.

MFA push notification é segura contra social engineering?

Push notification reduz risco de phishing (código não é capturado via email), mas vulnerável a MFA fatigue. Mitigado com análise de risco e biometria em push.

Quais são os limites de segurança de MFA?

MFA protege contra credenciais comprometidas, mas não contra malware (que consegue interceptar código), e não é impenetrável a social engineering bem executado.

Como detectar tentativas de comprometimento de MFA?

Análise de risco detecta: múltiplas tentativas falhadas de MFA, login de novo IP/país/dispositivo, padrão anômalo de acesso.

Qual é o método MFA mais resistente a ataque?

Hardware token (YubiKey) + biometria é mais seguro. TOTP é recomendado como padrão. SMS é inseguro e deve ser evitado.

Referências

  1. NIST SP 800-63B — Autenticação e Ciclo de Vida
  2. OWASP — Credentials Stuffing e SIM Swap
  3. FBI — SIM Swap Attacks

Leia também