È sempre più diffusa, tra i criminal hacker, la tecnica di attacco MFA fatigue in quanto consente di bypassare i sistemi di autenticazione multipla (MFA) e rubare le credenziali di accesso a sistemi e infrastrutture aziendali.
Ottenere l’accesso a sistemi critici e rubare dati sensibili sono gli obiettivi principali della maggior parte dei criminali informatici, che social engineering e phishing aiutano senza dubbio a raggiungere. Ecco perché l’autenticazione multi-fattore (MFA) è diventata una misura di sicurezza così importante per aziende e dipendenti. Senza MFA, autenticare un account diventa più semplice per un malintenzionato che possiede credenziali rubate.
Obiettivo principale dell’MFA è di ridurre il rischio di accesso non autorizzato, soprattutto in situazioni in cui le sole password potrebbero non fornire una protezione sufficiente. Anche se un malintenzionato rubasse la password, con l’MFA avrebbe bisogno di un secondo fattore (o di altri ancora) per accedere all’account. Esempi di fattori MFA sono la biometria, come le impronte digitali, ed elementi provenienti dai dispositivi dell’utente, come la posizione GPS.
L’MFA non è però una soluzione perfetta e può essere aggirata. Gli avversari sono implacabili nel tentativo di minare le difese di sicurezza che ostacolano il loro successo (lo dimostra l’evoluzione dei kit phish per rubare i token MFA). Ma a volte scelgono di adottare un approccio diretto, poco creativo o tecnico e gli attacchi basati sulla MFA fatigue rientrano in questa categoria.
Autenticazione a due fattori: perché è necessaria e come usarla
Indice degli argomenti
Cosa sono gli attacchi di MFA Fatigue
Gli attacchi di MFA Fatigue, noti anche come MFA bombing o MFA spamming, sono una forma di social engineering, progettati per logorare la pazienza di un utente in modo che accetti una richiesta MFA per frustrazione o fastidio, consentendo così a un cybercriminale di accedere al suo account o dispositivo.
Molte persone si imbattono in richieste MFA ogni giorno, anche più volte al giorno, quando accedono a varie app, siti, sistemi e piattaforme. Ricevere richieste MFA via e-mail, telefono o altri dispositivi come parte del processo è un evento di routine.
Quindi, è logico che un utente pensi che se riceve una notifica push da un account che richiede l’MFA, si tratti di una richiesta legittima. E se è molto occupato nel momento in cui riceve diverse notifiche push in rapida successione per l’autenticazione, potrebbe essere ancora più propenso ad accettare senza esaminarla.
Come funzionano gli attacchi MFA fatigue
Ecco come funziona un attacco MFA:
- Un malintenzionato ottiene nome utente e password del suo obiettivo. Può ottenere questo risultato in vari modi, dalle tattiche di violazione delle password, come gli attacchi brute-force, agli attacchi di phishing mirati, fino all’acquisto di credenziali rubate nel dark web.
- L’attaccante inizia quindi a inviare continuamente notifiche MFA all’utente, di solito in modo automatizzato, fino a quando l’individuo si sente sopraffatto e approva il tentativo di accesso solo per far cessare le richieste. (Di solito, le notifiche push delle soluzioni MFA richiedono che l’utente faccia semplicemente clic su un pulsante “sì” per autenticarsi dal dispositivo o dall’account e-mail registrato).
- Una volta ottenuto l’accesso non autorizzato all’account, può rubare dati sensibili, installare malware e compiere altre azioni pericolose, come impersonare l’utente che ha compromesso, spingendo le sue azioni fino a dove può o vuole arrivare.
Esempi di attacchi di MFA fatigue di successo
Per comprendere ancora più chiaramente quanto questo sia un rischio reale, ecco tre incidenti realmente accaduti e degni di nota, associati allo stesso gruppo malware:
- Uber. Nel settembre 2022, l’azienda ha riferito che un attaccante affiliato al gruppo di attori di minacce Lapsus$ aveva compromesso l’account di un appaltatore, avendo potenzialmente acquistato le credenziali sul dark web, ha dichiarato Uber in un update di sicurezza. L’appaltatore ha ricevuto diverse notifiche MFA mentre l’attaccante cercava di accedere all’account – accettandone una. Dopo aver effettuato l’accesso, l’attaccante ha proceduto ad accedere ad altri account, effettuando un’escalation dei privilegi e procedendo con la riconfigurazione dell’OpenDNS di Uber per visualizzare un’immagine grafica su alcuni siti interni dell’azienda.
- Cisco. Nel maggio 2022 l’azienda ha subito una violazione della rete che è stata ricondotta all’account Google compromesso di un dipendente. L’obiettivo ha ricevuto un elevato numero di tentativi di phishing vocale e notifiche push e ha ceduto alla MFA fatigue. Cisco ha riferito che gli attaccanti hanno rubato dati non sensibili e ha attribuito l’azione a “un avversario precedentemente identificato come un broker di accesso iniziale (IAB) con legami con i gruppi di criminali informatici UNC2447, di Lapsus$ e gli operatori del ransomware Yanluowang”.
- Microsoft. Nel marzo 2022, l’azienda ha confermato che Lapsus$ ha avuto accesso alla sua rete, rubando codice sorgente proprietario. La violazione dei dati è stata ricondotta a un utente il cui account è stato compromesso e che in seguito è stato vittima di un attacco di MFA fatigue. Microsoft ha riferito che i malintenzionati “hanno utilizzato due tecniche principali per soddisfare i requisiti MFA: il replay dei token di sessione e le password rubate per attivare richieste MFA di semplice approvazione, sperando che l’utente legittimo dell’account compromesso si autenticasse”.
Come prevenire gli attacchi
Il cosiddetto MFA bombing può essere una tattica efficace, ma gli attaccanti non devono sempre fare di tutto per convincere gli utenti ad autenticare i propri account. Questo perché molti utenti si sentono stanchi dall’MFA, in generale, non solo quando vengono assillati da una raffica di notifiche push.
Gli utenti potrebbero non essere così diligenti come dovrebbero nel rispondere alle richieste di MFA. Alcuni potrebbero considerare il processo di autenticazione come un ostacolo di sicurezza che li rallenta, altri potrebbero addirittura risentirsi di dover rispondere alla richiesta di verifica della propria identità.
Alla luce di queste dinamiche, sarà necessario fornire una formazione e sensibilizzazione sugli attacchi di MFA che coinvolga gli utenti in modo positivo. Altrimenti, potrebbero non essere ricettivi ai messaggi o non vedere la necessità di cambiare il loro comportamento.
Le aziende dovranno anche considerare l’adozione di misure che possano rafforzare le difese e rendere il processo di autenticazione più semplice per gli utenti. Semplificarlo può ridurre la fatica dell’MFA e le soluzioni che potrebbero essere efficaci, a seconda delle esigenze di sicurezza, includono:
- Password monouso a tempo (TOTP). Un TOTP è un codice di accesso temporaneo generato da un algoritmo. I TOTP hanno generalmente una lunghezza di sei caratteri e cambiano dopo 30 o 60 secondi. Google Authenticator e Microsoft Authenticator ne sono un esempio. Esistono anche applicazioni per smartphone che possono generare un TOTP dopo aver scansionato un codice QR con il proprio dispositivo.
- Autenticazione biometrica. Le caratteristiche uniche di una persona, come l’impronta digitale, vocale o l’immagine del viso, possono essere salvate e crittografate. Quando un utente deve accedere al proprio account, ripresenta i propri dati biometrici per verificare la propria identità. Un altro esempio è FIDO2, che utilizza dispositivi registrati o chiavi di sicurezza FIDO2 per verificare il possesso e convalidare le identità.
- Autenticazione context-aware. Si tratta di un approccio avanzato alla gestione di identità e accessi. Considera diversi fattori per prendere decisioni informate per concedere o rifiutare l’accesso a un utente. I fattori possono includere informazioni sull’individuo, come il suo ruolo in azienda, o la sua posizione o del suo dispositivo quando accede a un account.
- Autenticazione adattiva. Questi sistemi valutano vari fattori contestuali e indicatori di rischio per assegnare un punteggio a una richiesta di accesso. I fattori possono includere il comportamento dell’utente, informazioni sul dispositivo, posizione, orario di accesso, modelli storici di accesso o altro ancora.
Limitare le richieste di MFA non necessarie può anche aiutare a diminuire il rischio di fatigue per gli utenti. Tecnologia Single Sign-on e autenticazione passwordless sono due approcci che consentono di accedere a un servizio senza dover ripetere richieste o verifiche.
Anche intelligenza artificiale (IA) e machine learning possono aiutare l’azienda a prevenire attacchi di MFA. Queste tecnologie avanzate possono amplificare il rilevamento delle minacce aiutando i team di sicurezza a identificare le anomalie nei modelli di comportamento degli utenti. Un esempio insolito è rappresentato da un numero eccessivo di notifiche push inviate in un breve periodo, che potrebbe segnalare un bombardamento MFA.
Solide policy e pratiche di sicurezza hanno la loro utilità
Le policy sulle password possono svolgere un ruolo fondamentale nel rendere più difficile per gli attaccanti indovinare o decifrare le password degli utenti, abbinate a best practice adeguate, come ad esempio l’idea di istituire una policy sulle password che richieda agli utenti di creare passphrase con più di 20 caratteri che preveda l’uso di caratteri speciali.
Ѐ possibile contribuire alla mitigazione adottando il concetto di accesso con il minimo privilegio. Conosciuto anche come principio del minimo privilegio (POLP), questo approccio mira a limitare individui, applicazioni o sistemi al livello minimo di accesso o di permessi di cui hanno bisogno per svolgere le attività autorizzate, per ridurre la superficie di attacco e limitare i danni in caso di violazione.
