E se fosse proprio uno dei sistemi di sicurezza che proteggono i nostri account a essere a rischio? Purtroppo, è ciò che il team Incident Response di Cisco Talos ha osservato nei primi mesi del 2024, riportando che quasi la metà di tutti gli incidenti di sicurezza hanno riguardato il MFA (Multi Factor Authentication).
In un quarto dei casi l’attacco è causato dall’accettazione di notifiche push
Stando ai dati emersi dal report “BEC attacks surge, while weaknesses in MFA persist“, redatto da Cisco Talos per il primo trimestre del 2024, l’autenticazione a più fattori è sempre più nel mirino dei criminali informatici, nonostante i progressi che le aziende hanno fatto nell’implementare sistemi sempre più sicuri.
Ma cosa causa la rottura di questo sistema ideato per proteggerci? Nel 25% dei casi, la causa è stata l’accettazione da parte degli utenti di notifiche push MFA fraudolente, mentre nel 21% il team di sicurezza di Cisco ha rilevato l’assenza di un’implementazione corretta dell’MFA.
La tipologia più comune di attacchi che Cisco Talos ha dovuto gestire ha utilizzato le notifiche push MFA non autorizzate da parte degli utenti. Ciò avviene quando l’aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide al fine di sommergere le vittime di notifiche push MFA fino a quando, per esasperazione, la vittima accetta permettendo l’accesso.
I preoccupanti dati derivano da Cisco Duo, l’azienda di Cisco che si occupa di servizi di autenticazione multi-factor (MFA) e di accesso sicuro, che ha rilevato, da giugno 2023 a maggio 2024, circa 15.000 attacchi basati su notifiche push. Cisco Duo ha inoltre constatato che il momento in cui avviene il maggior numero di attacchi è l’inizio della giornata lavorativa, quando gli utenti si autenticano per accedere ai sistemi aziendali.
I metodi utilizzati dai criminali informatici per evadere il MFA
Le notifiche push a raffica non sono le uniche tattiche utilizzate dai criminali informatici per aggirare il MFA.
Infatti, gli aggressori possono utilizzare i token di sessione rubati ottenendo così un’identità legittima che gli permette di accedere ai sistemi aziendali, oppure prendendo di mira un fornitore aziendale per accedere all’MFA utilizzando il dispositivo compromesso.
Un altro tipo di attacco coinvolge la compromissione dei singoli endpoint, aumentando i privilegi a livello di amministratore e quindi disattivare la protezione MFA. Ultimamente si sta anche diffondendo l’utilizzo, da parte dei criminali informatici, di applicazioni software erogate attraverso il dark web create appositamente per disabilitare strumenti di sicurezza.
Infine, un classico attacco è quello del social engineering, in cui un aggressore si spaccia per qualcuno che la vittima conosce e cerca di trasmettere un senso di urgenza e importanza alle sue comunicazioni per incoraggiarlo a cliccare sul suo messaggio. Una volta ottenute le credenziali, il criminale le utilizza per entrare nei sistemi IT e per aggiungere nuovi dispositivi abilitati all’autenticazione a più fattori, ampliando la superficie d’attacco.
Come difendersi?
Difendersi dagli attacchi ai sistemi di autenticazione a più fattori è possibile, e Cisco Talos ci fornisce alcune strategie per farlo.
Innanzitutto, il team di sicurezza di Cisco consiglia di abilitare il number matching nelle applicazioni MFA per fornire un ulteriore livello di sicurezza e impedire agli utenti di accettare notifiche push MFA dannose. Inoltre, raccomanda di implementare l’autenticazione a più fattori su tutti i servizi critici, inclusi tutti i servizi di accesso remoto e di gestione dell’accesso all’identità (IAM).
È anche importante configurare un alert per l’autenticazione al fine di identificare rapidamente anomalie e modifiche nei criteri di autenticazione a più fattori. Infine, consiglia di investire nella formazione degli utenti per aggiornarli sul panorama delle minacce informatiche e aiutarli a essere vigili, segnalando tempestivamente situazioni sospette.
Per maggiori informazioni sugli attacchi ai sistemi di autenticazione a più fattori, vi invitiamo a consultare il blog post sull’argomento redatto da Cisco Talos.