Olá a todos, Pat Reeves aqui, novamente no botsec.net. Estamos em março de 2026, e tenho a sensação de que estamos envolvidos em uma luta sem fim contra as ameaças impulsionadas por bots. Justo quando você pensa que dominou um aspecto, aparece outro. Hoje quero falar sobre algo que me impede de dormir à noite: o uso cada vez mais sofisticado de bots na engenharia social, especialmente quando se trata de contornar os fluxos de autenticação. Não estamos mais falando apenas sobre preenchimento de formulários de identidade. Estamos falando de bots que se tornam estranhamente bons em imitar a interação humana para contornar a MFA. Vamos chamar isso de “Social Bot-neering.”
Além da Força Bruta: A Ascensão do Social Bot-neering na Autenticação
Há anos, quando falávamos de bots que atacam a autenticação, nossa mente imediatamente ia para os ataques de força bruta, o preenchimento de dados de identidade, ou talvez um sofisticado contorno dos CAPTCHA. Estas ainda são ameaças muito reais, não me entenda mal. Mas ultimamente, observei uma tendência inquietante que vai além desses simples exploits técnicos. Estamos assistindo à evolução de bots projetados para interagir com os usuários, até mesmo com o suporte técnico, de forma a levá-los a abrir mão de acesso ou contornar as medidas de segurança.
Pense nisso. Investimos massivamente na autenticação multifatorial (MFA). Temos TOTP, notificações push, chaves FIDO – tudo ótimo. Mas o que acontece quando o ponto mais fraco não é a tecnologia, mas o ser humano do outro lado, convencido por um bot que precisa “verificar” algo, ou pior, que está falando com um agente de suporte legítimo?
Meu Contato Pessoal com um Bot Ingênuo
Eu tive uma experiência pessoal com isso alguns meses atrás que realmente abriu meus olhos. Recebi uma mensagem de texto, aparentemente de meu banco. Dizia algo como: “Urgente: Atividade incomum detectada em sua conta. Por favor, verifique as transações recentes em [link malicioso].” Agora, normalmente sou bastante bom em identificar phishing. O link parecia suspeito e eu não cliquei. Mas então, cerca de 20 minutos depois, meu telefone tocou. Número desconhecido. Eu atendi, e era uma voz de IA surpreendentemente convincente, calma e profissional, que afirmava ser do serviço antifraude do meu banco, fazendo referência à “atividade incomum” exata mencionada no texto.
Ela me pediu para confirmar minha identidade, não fornecendo uma senha, mas “verificando um código enviado para meu telefone.” Recebi um SMS autêntico do meu banco com um código MFA legítimo, como se eu estivesse acessando. O bot ao telefone então me pediu para ler esse código. Nesse ponto, me atendeu. Não era apenas uma tentativa de phishing. Era um ataque coordenado. O bot havia iniciado uma tentativa de acesso à minha conta, ativado a MFA, e agora estava tentando me induzir a fornecer o código. Se eu tivesse lido aquele código, eles teriam acesso. Era terrivelmente eficaz.
Não era o trabalho de algum script kiddie. Era uma operação sofisticada, provavelmente gerida por uma fazenda de bots, capaz de iniciar tentativas de acesso, enviar SMS direcionados e operar um bot de voz alimentado por IA para extrair a MFA. Esgotou todas as minhas proteções técnicas porque explorou minha confiança e meu senso de urgência.
Como os Bots Sociais Contornam a MFA
Analisemos alguns dos vetores que observo:
1. Phishing MFA com um Toque
Isso foi o que me aconteceu. Os bots iniciam uma verdadeira conexão, ativando um prompt de MFA legítimo (SMS, push, solicitação TOTP). Ao mesmo tempo, o bot contata o usuário por outro canal (SMS, email, chamada de voz) se passando por uma entidade confiável (banco, suporte de TI, plataforma de mídia social). O bot então persuade o usuário a fornecer o código MFA, a aprovar a notificação push, ou até mesmo a escanear um código QR malicioso.
# Pseudo-código simplificado para uma tentativa de phishing MFA gerenciada por um bot
function bot_orchestrate_mfa_phishing(target_user_id, bank_url, phishing_sms_template, ai_voice_script):
# Passo 1: Iniciar uma tentativa de login no serviço legítimo
login_session = initiate_login(bank_url, target_user_id, known_password_or_stolen_credential)
if login_session.requires_mfa():
mfa_challenge_id = login_session.get_mfa_challenge_id()
# Passo 2: Enviar um SMS de phishing direcionado
send_sms(target_user_id.phone_number, phishing_sms_template.format(bank_name="Seu Banco"))
# Passo 3: Iniciar uma chamada de voz AI
ai_call_session = make_ai_voice_call(target_user_id.phone_number, ai_voice_script)
# Passo 4: Durante a chamada, se o usuário fornecer o código MFA
if ai_call_session.user_provides_mfa_code():
mfa_code = ai_call_session.get_provided_mfa_code()
# Passo 5: Completar o login com o código MFA roubado
if login_session.verify_mfa(mfa_challenge_id, mfa_code):
log_compromise_and_access_account(login_session)
else:
log_failed_mfa_attempt()
else:
log_user_did_not_provide_mfa()
else:
log_no_mfa_required()
Não é mais uma simples página de phishing estática. É dinâmica, interativa e aproveita a confiança existente do usuário em seus mecanismos MFA.
2. Usurpação de Identidade do Suporte Técnico e Engenharia Social
Os bots agora são utilizados para automatizar chamadas ou conversas com os helpdesks. O bot, fazendo-se passar por um usuário legítimo, pode afirmar ter perdido o telefone, esquecido a senha ou estar bloqueado de sua conta. Ter informações pessoais suficientes (frequentemente obtidas de violações de dados) para parecer convincentes. O objetivo deles? Convencer um agente de suporte humano a redefinir a MFA, registrar um novo dispositivo ou conceder acesso temporário. Vi relatos de bots que geram até “histórias tristes” ou expressam “frustração” para obter a simpatia dos agentes.
# Script hipotético de bot para a engenharia social do suporte técnico (resumido)
def bot_helpdesk_interaction(target_user_info):
dialog_flow = [
{"bot": "Oi, parece que estou bloqueado da minha conta, user_id {user_id}. Meu telefone está quebrado e não posso receber códigos MFA."},
{"human_agent": "Entendo. Você pode confirmar alguns detalhes?"},
{"bot": "Claro. Meu nome completo é {full_name}, e minha data de nascimento é {dob}."},
{"human_agent": "Ok, isso confere. Como você deseja prosseguir?"},
{"bot": "Você poderia, por favor, desabilitar temporariamente a MFA ou enviar um novo link de registro para meu e-mail de emergência {backup_email}?"},
# ... diálogos adicionais para persuadir o agente ...
]
for turn in dialog_flow:
if "bot" in turn:
send_message_to_helpdesk(turn["bot"].format(**target_user_info))
wait_for_response()
elif "human_agent" in turn:
# Esta parte envolveria o processamento de linguagem natural para entender a resposta do agente
# e selecionar a próxima resposta apropriada do bot
pass
É particularmente perigoso porque os agentes de suporte técnico são treinados para ajudar os usuários, e é difícil distinguir um humano em dificuldade de um bot bem programado, especialmente quando o bot tem uma boa história de fundo e detalhes pessoais (roubados) precisos.
3. Controle Automatizado das Contas através dos Fluxos de “Redefinição de Senha”
Embora não seja estritamente um bypass da MFA, muitas vezes é um prelúdio. Os bots exploram fluxos de “senha esquecida” mal configurados. Se um sistema permitir tentativas excessivas de redefinição de senha, ou se as perguntas de segurança forem facilmente adivinháveis (ou as respostas obtidas de violações), os bots podem automatizar esse processo. Uma vez que conseguiram redefinir a senha, podem acessar e enfrentar o desafio da MFA; nesse ponto, podem passar para uma das táticas de engenharia social mencionadas acima.
Defendendo-se do Social Bot-neer
Então, o que fazer? Não é apenas um problema técnico; é um problema humano, agravado pela tecnologia.
1. Educar, Educar, Educar (Seus Usuários E Sua Equipe)
“`html
- Para os Usuários: Reforcem o mantra “nunca compartilhem seu código MFA”. Enfatizem que serviços legítimos nunca pedirão *nunca* que você leia um código MFA pelo telefone ou que digite um código em um link que eles enviaram. As notificações push devem sempre ser verificadas em relação à tentativa de acesso legítima que você iniciou. Deixem claro que, se não tiverem iniciado um acesso, devem recusar o pedido.
- Para a Equipe de Suporte Técnico: Isso é fundamental. Treinem rigorosamente sobre táticas de engenharia social. Forneçam protocolos claros e inegociáveis para redefinições de MFA ou mudanças de acesso a contas. Implementem uma verificação em vários níveis para essas ações sensíveis (por exemplo, retornar uma chamada para um número registrado, solicitar uma verificação pessoal para contas de alto valor). Enfatizem que um “desconforto” ou uma “emergência” por parte de um usuário nunca deve sobrepor os protocolos de segurança.
2. Implementar uma Detecção de Bots Mais Eficaz na Frontiera e Nos Fluxos de Autenticação
- Análise Comportamental: Procurem por padrões incomuns. Um usuário inicia um acesso de um novo endereço IP, imediatamente seguido por uma chamada ao suporte solicitando uma redefinição da MFA? Houve tentativas de acesso fracassadas seguidas de um sucesso após uma interação com o “suporte”?
- Limitações de Taxa e Throttling: Isso sempre ajuda. Limitem o número de tentativas de acesso, redefinições de senha ou desafios MFA que podem ser iniciados por um único IP ou para um único usuário em um determinado intervalo de tempo.
- Impressão de Dispositivos: Se uma tentativa de acesso for feita de um dispositivo não reconhecido, mesmo que a MFA seja fornecida, isso deve acionar um alerta de nível superior.
- Mecanismos de Desafio-Resposta: Além do CAPTCHA, considerem desafios para bots mais sofisticados antes de permitir uma tentativa de acesso ou emitir um desafio MFA.
3. Modernizar as Opções de MFA (e remover as mais fracas)
- Ir além dos OTPs SMS: SMS são notoriamente vulneráveis ao clonagem de SIM e à interceptação. Notificações push com informações contextuais (por exemplo, “Tentativa de acesso de Nova York, iPhone 15 Pro”) são melhores, mas continuam sujeitas à engenharia social.
- Chaves de segurança de hardware (FIDO2/WebAuthn): Essas são muito mais resistentes ao phishing e à engenharia social, já que a chave verifica criptograficamente a origem do pedido de acesso. O usuário não digita um código; simplesmente confirma sua presença no site correto. Minha escolha pessoal para contas críticas.
- Biometria: Embora não seja uma solução milagrosa, combinar biometria com uma forte autenticação de dispositivos adiciona uma camada adicional de dificuldade para os invasores.
4. Políticas rigorosas de recuperação de contas
Reavaliem seus processos de recuperação de conta. As perguntas de segurança são muito simples? É fácil demais para alguém provar sua identidade pelo telefone? Implementem uma verificação em vários níveis para a recuperação de contas, potencialmente exigindo documentos, videochamadas ou uma presença física para contas sensíveis.
O caminho a seguir
A corrida armamentista entre profissionais de segurança e bots maliciosos está acelerando. À medida que nossas defesas técnicas melhoram, os invasores simplesmente mudam sua atenção para o elemento humano, utilizando bots sofisticados para ampliar seus esforços de engenharia social. Não é mais suficiente bloquear IPs ou detectar preenchimento de credenciais. Precisamos pensar como os invasores, entender suas táticas em evolução e construir defesas resilientes diante de explorações técnicas e sociais.
Meu conselho? Suponha que os bots se tornem mais inteligentes. Suponha que sejam capazes de ter conversas convincentes. E então construa suas defesas – tanto tecnológicas quanto centradas no humano – com essa hipótese em mente. Mantenha-se vigilante, mantenha-se seguro!
Pat Reeves, finalizado.
🕒 Published: