det0160-detection-strategy-for-multi-factor-authentication-request-generation-t1

# DET0160 — Detection Strategy for Multi-Factor Authentication Request Generation (T1621) ## Descrição Esta estratégia detecta ataques de MFA fatigue (T1621), também chamados de MFA bombing ou MFA push flooding, onde adversários com credenciais válidas (obtidas por phishing ou credential stuffing) disparam múltiplas requisições de aprovação MFA ao usuário legítimo na esperança de que ele as aprove por engano, cansaço, ou confusão. É um dos vetores de comprometimento de identidade mais efetivos contra organizações que usam MFA por push notification. O padrão de ataque inclui: múltiplas tentativas de autenticação com as mesmas credenciais em curto período, cada uma gerando notificação push ao dispositivo do usuário. Em alguns casos, os adversários também ligam para a vítima se passando por suporte técnico para induzir a aprovação. O grupo Lapsus$ e outros atores de ameaça documentaram extensivamente o uso desta técnica contra grandes organizações. A telemetria inclui logs de IdP (Azure AD, Okta, Duo) para múltiplas solicitações MFA da mesma conta em curto período, alertas de "MFA fatigue" nativos de plataformas como Okta (botão "Something doesn't look right") e Duo, e correlação entre geolocalização da tentativa de login e geolocalização do dispositivo MFA do usuário. Implementar número matching e additional context no push de MFA é uma mitigação efetiva. ## Indicadores de Detecção - >3 solicitações de push MFA para a mesma conta em 5 minutos sem aprovação do usuário - Tentativas de login de IP em país diferente do device enrollment do usuário - Usuário aprovando push MFA fora do horário normal de trabalho ou de localização incomum - Múltiplas falhas de MFA seguidas de aprovação — padrão de fadiga bem-sucedida - Login bem-sucedido imediatamente após série de rejeições de MFA push ## Técnicas Relacionadas - [[t1621-multi-factor-authentication-request-generation|T1621 — Multi-Factor Authentication Request Generation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] ## Analytics Relacionadas - [[an0449-analytic-0449|AN0449 — Analytic 0449]] - [[an0450-analytic-0450|AN0450 — Analytic 0450]] - [[an0451-analytic-0451|AN0451 — Analytic 0451]] - [[an0452-analytic-0452|AN0452 — Analytic 0452]] - [[an0453-analytic-0453|AN0453 — Analytic 0453]] - [[an0454-analytic-0454|AN0454 — Analytic 0454]] --- *Fonte: [MITRE ATT&CK — DET0160](https://attack.mitre.org/detectionstrategies/DET0160)*