Autenticazione a 2 fattori sotto attacco: a cosa fare attenzione

Nei vari report distribuiti dalle aziende esperte di sicurezza online vengono sempre fuori i principali trend, spesso prendendo in considerazione periodi trimestrali o semestrali, da tenere sotto stretto controllo perché maggiormente colpiti o con i maggiori tentativi di attacco. Nell’ultimo paper distribuito da Cisco Talos, azienda statunitense specializzata in sicurezza, vediamo come ad esempio stiano aumentando gli attacchi innanzitutto diretti verso le email aziendali, i cosiddetti BEC (Business Email Compromise), che superano anche i Ransomware nel numero di segnalazioni.

Gli attacchi verso le caselle email dei dipendenti delle aziende sono aumentati anche in base alle vulnerabilità ed all’aumento di un altro genere di attacco, ovvero quello ai sistemi di autenticazione a due fattori, che adesso sta diventando piano piano obbligatorio in sempre più contesti. Venendo ad aumentare questa misura aumentano ovviamente anche i tentativi di bypassarla, da qui i numeri alti. La questione è abbastanza importante visto che nel 50% dei casi di attacchi riusciti alle caselle mail aziendali ciò era stato preso di mira erano proprio la 2FA (2 Factor Authentication) o la MFA (Multi Factor Authentication). Un quarto delle volte, gli attacchi erano andati a buon fine a causa del clic errato su notifiche push fraudolente ricevute sul proprio smartphone, mentre nel 21% dei casi evidenziati si trattava di una impostazione errata dell’autenticazione già a monte.

Nel primo caso gli hacker provano ad insistere il più possibile subissando l’utente di notifiche fin quando, giunta l’esasperazione, non crollano e fanno tap su una di esse. Questa strategia sembra fallace ma può essere efficace se, come è stato notato, gli attacchi vengono tentati all’inizio dell’orario lavorativo, quando verosimilmente gli utenti si stanno collegando con la 2FA o la MFA ai sistemi aziendali ricevendo per questo varie notifiche. Altre due strategie per rubare gli accessi a più fattori sono quelle del furto dei token di sessione, che in questo blog abbiamo già visto in qualche articolo, e quella dell’invio di messaggi ai colleghi delle vittime fingendosi qualcuno di conosciuto e facendosi passare le dovute informazioni.

In altre evidenze ad essere stati messi nel mirino sono i servizi esterni, che possono essere violati e possono contenere le credenziali richieste oppure, in ultima analisi, aggirare il problema dell’autenticazione rinforzata disattivandola alla radice dopo essersi intrufolati nei sistemi della vittima in altro modo. Nel ricordare comunque l’importanza di questo tipo di sistema di accesso con sicurezza rinforzata, è sempre bene aggiungere che esistono anche sistemi che la possono proteggere o possono perlomeno aggiungere un filtro di controllo come un alert che si attiva ad ogni accesso o tentativo di accesso.

 

Fonte: 1