A autenticação em dois fatores se tornou uma das principais camadas de proteção contra invasões digitais nos últimos anos. Desse modo, empresas, bancos, plataformas de streaming e até mesmo redes sociais passaram a exigir um segundo passo de confirmação para dificultar o acesso indevido às contas dos usuários.
No entanto, criminosos virtuais descobriram uma nova forma de explorar justamente a autenticação em dois fatores. Sendo assim, o golpe utiliza notificações push repetitivas no intuito de cansar a vítima e induzi-la a aprovar um login malicioso sem perceber o risco.
A burla da autenticação em dois fatores com notificações
Os ataques contra a autenticação em dois fatores evoluíram bastante. Nesse sentido, em vez de quebrar sistemas complexos, os criminosos passaram a explorar o elo mais vulnerável: o comportamento humano.
Em outras palavras, nesse golpe, hackers enviam notificações push repetidas para o celular da vítima. Tais alertas aparecem quando alguém tenta acessar uma conta protegida por autenticação em dois fatores.
Como o ataque começa
Para que o ataque funcione, o criminoso precisa obter a senha da vítima. Isso geralmente acontece por vazamentos de dados, phishing ou reutilização de senhas antigas expostas na internet.
Com a senha em mãos, o invasor tenta acessar serviços como por exemplo VPNs, Microsoft 365, Google Workspace e outras plataformas corporativas. Vale ressaltar que cada tentativa gera automaticamente uma notificação no celular do usuário. O objetivo é provocar um bombardeio constante de alertas até que a vítima aprove um deles por distração ou cansaço.
O papel da engenharia social
Muitos ataques também utilizam engenharia social no intuito de aumentar as chances de sucesso. Após diversas tentativas de login, criminosos podem ligar para a vítima fingindo ser da equipe de TI da empresa.
Eles afirmam que existe um problema técnico ou que uma atualização de segurança precisa ser aprovada. Como o usuário já recebeu várias notificações, acaba acreditando que o contato é legítimo. Nesse momento, basta aprovar uma solicitação para entregar acesso à conta.
Por que esse golpe funciona
O principal diferencial desse ataque é o uso da fadiga psicológica. Receber notificações repetidas irrita, confunde e desgasta o usuário. Depois de muitos alertas consecutivos, a tendência é agir no automático apenas para fazer as mensagens pararem. Esse comportamento humano é exatamente o que os criminosos exploram.

Exemplo desse ataque à autenticação em dois fatores
Um dos casos mais conhecidos envolvendo esse tipo de ataque aconteceu com a Cisco no ano de 2022. É importante destacar que o episódio chamou atenção porque a empresa é referência mundial em segurança digital, o que mostra que até mesmo organizações altamente preparadas podem ser vítimas.
Como os criminosos conseguiram acesso
Os invasores ligados ao grupo de ransomware Yanluowang conseguiram inicialmente as credenciais de VPN de um funcionário da empresa. Segundo investigações, a conta pessoal do Google do colaborador sincronizava senhas salvas no navegador.
Com a senha correta, os criminosos passaram a realizar várias tentativas de login na VPN corporativa. Dessa maneira, cada acesso gerava notificações push no celular do funcionário, que inicialmente recusou as solicitações suspeitas.
A ligação falsa do suporte técnico
Após as recusas, os criminosos mudaram de estratégia. Eles telefonaram para a vítima fingindo ser integrantes do suporte técnico da Cisco. Durante a conversa, convenceram o funcionário de que era necessário aprovar uma notificação específica para corrigir um suposto problema técnico. Sendo assim, a vítima acabou aceitando uma das solicitações.
O que aconteceu após a aprovação
Em seguida à aprovação da autenticação, os invasores conseguiram acessar a VPN corporativa usando as credenciais legítimas da vítima. Depois disso, registraram dispositivos próprios no sistema de autenticação para manter acesso persistente ao ambiente interno. Os criminosos ainda elevaram privilégios administrativos e roubaram cerca de 2,8 GB de dados antes da invasão ser interrompida.
O impacto desse caso
Um ponto crucial é que o episódio da Cisco foi responsável por mostrar que o problema nem sempre está na tecnologia, mas também na manipulação psicológica e nos erros humanos.
Detalhes sobre a burla da autenticação em dois fatores com notificações
O sucesso desse tipo de golpe está diretamente ligado à falta de contexto fornecida pelas notificações push tradicionais. Na maioria dos sistemas, o usuário recebe apenas uma mensagem simples perguntando se deseja aprovar o login. Muitas vezes, não existem informações detalhadas sobre o acesso solicitado.
Falta de informações importantes
Em diversos aplicativos de autenticação, a vítima não consegue visualizar detalhes essenciais, como por exemplo:
- Localização aproximada da tentativa de login;
- Tipo de dispositivo utilizado;
- Navegador empregado;
- Horário exato do acesso;
- Serviço específico acessado.
Sem essas informações, fica muito mais difícil identificar rapidamente se o login é legítimo ou não.
O efeito psicológico das notificações repetidas
Paralelamente, outro problema é o impacto psicológico causado pelas notificações em sequência. Quando alguém recebe dezenas de solicitações seguidas, a tendência natural é pensar que existe algum erro técnico acontecendo.
Isso se deve ao fato de que muitas pessoas acreditam que o sistema está bugado ou enfrentando instabilidade. Ou seja, essa sensação de normalidade ajuda o criminoso a reduzir a desconfiança da vítima.
A combinação perigosa com chamadas falsas
A situação torna-se ainda mais convincente quando os invasores realizam ligações telefônicas fingindo ser profissionais de suporte. Como o usuário já está vendo notificações no celular, a ligação parece fazer sentido.
O criminoso aproveita esse contexto para pressionar a vítima a aprovar o acesso rapidamente. Em ambientes corporativos, onde funcionários estão acostumados a lidar com suporte técnico diariamente, esse golpe se torna ainda mais eficaz.
Um ataque focado em comportamento humano
Diferentemente de ataques altamente técnicos, o bombardeio de notificações depende muito mais da manipulação emocional do que da quebra de sistemas. Os criminosos exploram fatores como:
- Estresse;
- Pressa;
- Cansaço;
- Distração;
- Confiança em figuras de autoridade.
Por isso, especialistas consideram esse golpe uma combinação de engenharia social com exploração de autenticação push.
Como se proteger desse ataque à autenticação em dois fatores?
Embora o problema esteja crescendo, especialistas em segurança digital apontam diversas medidas capazes de reduzir os riscos. Sendo assim, a principal recomendação é fortalecer os mecanismos de autenticação e diminuir a dependência exclusiva das notificações push.
Utilizar métodos de autenticação mais seguros
Uma das formas mais eficientes de proteção é substituir notificações push por métodos mais resistentes à engenharia social.
Chaves de segurança FIDO2
As chaves FIDO2 funcionam como dispositivos físicos conectados via USB, NFC ou Bluetooth. Elas exigem presença física do usuário para validar o acesso, impedindo aprovações remotas feitas por criminosos.
Tokens físicos
Dispositivos como a YubiKey oferecem autenticação baseada em hardware, dificultando ataques de fadiga de notificações e manipulação psicológica.
Aplicativos autenticadores com códigos temporários
Aplicativos como Google Authenticator e Microsoft Authenticator geram códigos temporários que mudam constantemente. Embora não sejam perfeitos, reduzem bastante o risco de aprovações acidentais.
Monitorar senhas vazadas
Outro ponto essencial é impedir que senhas comprometidas continuem ativas. Como esse tipo de ataque depende da senha correta da vítima, detectar credenciais vazadas é fundamental. Empresas podem usar ferramentas que monitoram bancos de dados expostos na dark web para identificar senhas comprometidas e exigir a troca imediata das credenciais.
Implementar acesso contextual
Soluções modernas de segurança utilizam análise contextual antes de enviar solicitações de autenticação. Esses sistemas verificam fatores como localização geográfica, endereço IP, dispositivo utilizado, horário de acesso e comportamento habitual do usuário. Caso o login pareça suspeito, a tentativa pode ser bloqueada automaticamente antes mesmo do envio da notificação push.
Treinamento contínuo de usuários
A conscientização continua sendo uma das armas mais importantes no combate aos golpes digitais. Funcionários e usuários precisam entender que equipes legítimas de suporte raramente solicitam aprovações imediatas por telefone. Treinamentos frequentes ajudam a reconhecer sinais de manipulação e agir com mais cautela.
Lições a aprender com a burla da autenticação em dois fatores com notificações
O crescimento desse tipo de ataque é algo que mostra que a segurança digital não depende apenas de tecnologias avançadas. Nesse sentido, o fator humano continua sendo um dos principais alvos dos criminosos virtuais.
A autenticação em dois fatores ainda é extremamente importante e continua oferecendo proteção relevante contra invasões. Porém, o modelo baseado exclusivamente em notificações push precisa ser utilizado com mais cuidado.
Empresas devem investir em autenticação resistente a phishing, monitoramento de credenciais vazadas e políticas de acesso contextual. Já os usuários precisam desenvolver hábitos mais atentos ao lidar com solicitações de login inesperadas.
Paralelamente, outro aprendizado importante é que golpes modernos combinam tecnologia com engenharia social. Não basta apenas possuir ferramentas de segurança; é necessário saber identificar tentativas de manipulação psicológica. O caso da Cisco deixou claro que até grandes empresas podem ser vítimas quando os criminosos exploram distração, confiança e cansaço humano.
Devido a isso, entender como funciona a autenticação em dois fatores e conhecer os riscos associados às notificações push se tornou indispensável para qualquer pessoa que utilize serviços digitais no dia a dia.
Logo, quer continuar protegido contra golpes digitais e entender melhor como fortalecer sua autenticação em dois fatores? Então, continue acompanhando conteúdos atualizados sobre segurança digital e proteção de dados.
*com uso de inteligência artificial

