L’autenticazione a più fattori è ormai una delle tecniche più utilizzate da coloro che vogliono proteggere gli accessi ai propri account, da quelli più semplici come le caselle email a quelli più delicati come l’home banking o i sistemi aziendali. Per una maggiore chiarezza, i sistemi di autenticazione a più fattori sono quelli che necessitano di un’azione successiva alla semplice immissione di utente e password come l’aggiunta di un codice alfanumerico ottenuto via SMS o un accesso biometrico con impronta digitale, per fare due semplici esempi. In modo ancor più semplificato, la maggior sicurezza sta nel fatto che le azioni successive servono a far capire che l’accesso viene realmente effettuato dall’utente e non da qualche malintenzionato.
Negli ultimi giorni di agosto Microsoft ha diffuso un comunicato che riguarda alcune minacce che metterebbero in pericolo anche la protezione degli accessi MFA (Multi-Factor Authentication) dopo aver osservato un alto traffico di campagne massive che seguono il modello Phishing-as-a-Service (PhaaS) in grado di oltrepassare i controlli. Le tecniche di phishing utilizzate vengono descritte come adversary-in-the-middle, ovvero tecniche mirate a posizionarsi tra utente e pagina di accesso per rubare credenziali, codici e cookie di sessione. Il furto degli stessi cookie sarebbe essenziale per riuscire a sottrarre gli accessi aggirando la MFA, ciò si evince anche dalla seconda tecnica principalmente utilizzata dagli hacker, ovvero il posizionamento di un server che imita la pagina di autenticazione per poi trafugare i cookie di sessione dai dati del browser utilizzato.
Gli esperti di Microsoft hanno notato come la piattaforma PhaaS utilizzata per questo genere di offensive, chiamata Greatness, faccia capo al gruppo Storm-1295, che sta offrendo questi servizi ad altri gruppi per sferrare lo stesso tipo di attacchi. La stessa società statunitense spiega come questo genere di minaccia sia stata osservata per la prima volta nel maggio scorso, quando ad essere in pericolo furono gli account Microsoft 365 e che per evitare qualsiasi tipo di rischio è necessario revocare i cookie di sessione, solo in questo modo gli hacker non riusciranno a portare a termine gli attacchi.
Fonte: 1
