Uma técnica chamada MFA bombing está sendo usada para enganar usuários. Ela não é nova, mas vem sendo usada por grupos como o Lapsus$, que estaria por trás das ações contra o ConecteSUS, a Microsoft e a Nvidia.

O truque explora fraquezas dos usuários para conseguir autorização e entrar nos sistemas. MFA é a sigla para multi-factor authentication, ou autenticação multifator. Este é o nome dado à proteção extra que alguns serviços e sistemas oferecem.

O MFA bombing foca na notificação. A ideia é, como o nome sugere, bombardear o usuário com solicitações até ele aceitar. Os cibercriminosos escolhem até mesmo horários em que ele pode estar mais vulnerável — por exemplo, mandar centenas de pedidos de madrugada, quando a pessoa está com sono.

Segundo o Ars Technica, existem jeitos mais sutis. Um deles é mandar uma ou duas solicitações por dia. Isso chama menos a atenção, mas ainda tem uma boa chance de fazer o usuário aceitar.

Outro é ligar para o alvo e se passar pela empresa dizendo que o funcionário precisa autorizar o pedido.