Per i criminali che cercano di commettere frodi attraverso il credential stuffing, l’autenticazione a più fattori (MFA) aggiunge di certo diverse barriere, ma oggi gli aggressori hanno scoperto nuovi modi per aggirare questo sistema di protezione. Pertanto, le aziende devono adottare ulteriori misure per rafforzare la sicurezza dell’MFA, tra cui la mitigazione dei bot e il monitoraggio del rischio contestuale.
Nonostante le sue “debolezze”, l’MFA rappresenta un passo avanti significativo rispetto all’uso esclusivo delle password, che è chiaramente inadeguato. Gli esseri umani hanno difficoltà a ricordare lunghe stringhe di caratteri; quindi, spesso scelgono password semplici e prevedibili, e le riutilizzano in tutte le applicazioni, il che ha portato a numerose violazioni della sicurezza.
Tuttavia, con il progressivo abbandono delle password e l’adozione dell’autenticazione a più fattori, abbiamo assistito a un aumento degli attacchi MFA, tra cui:
Proxy di phishing in tempo reale: in un attacco di phishing proxy in tempo reale (RTPP), i truffatori utilizzano messaggi di phishing per ingannare gli utenti e indurli a visitare un sito controllato dall’aggressore che si presenta come un sito affidabile. Lì, gli utenti inseriscono le proprie credenziali e approvano la richiesta di autenticazione a due fattori, che potrebbe essere un messaggio SMS o una notifica push. L’RTPP inoltra le credenziali all’app di destinazione, consentendo l’accesso agli aggressori.
Bombardamento MFA: in questi attacchi, gli aggressori inducono l’obiettivo a fornire il codice di autenticazione inviando numerose richieste false. Questo metodo è efficace contro le app di autenticazione basate su notifiche push, poiché gli utenti possono facilmente interrompere l’ondata di richieste premendo un pulsante. Gli aggressori talvolta combinano il bombardamento MFA con il social engineering per incoraggiare gli utenti ad accettare la notifica push e concedere l’accesso.
Spoofing biometrico: gli aggressori sono riusciti persino a superare l’autenticazione biometrica. Dopotutto, lasciamo le nostre impronte digitali ovunque, su quasi ogni superficie liscia che tocchiamo, dove possono essere raccolte e replicate utilizzando qualsiasi cosa, dalla stampa 3D agli ingredienti degli orsetti gommosi. I ricercatori di sicurezza hanno dimostrato anche che è possibile falsificare il riconoscimento facciale, vocale e la scansione dell’iride. Nonostante i vendor abbiano sviluppato tecniche anti-spoofing, come i controlli di vivacità per rilevare tentativi di superamento, qualsiasi dispositivo biometrico potrebbe diventare vulnerabile man mano che gli aggressori rendono sempre più sofisticate le proprie tecniche.
Scambio di SIM: in questo tipo di attacco, i truffatori sfruttano la capacità dei service provider di trasferire un numero di telefono a un altro dispositivo. Dopo aver raccolto informazioni personali, il truffatore mette in atto il social engineering per trasferire il numero di telefono della vittima sulla sua SIM. Questo consente al truffatore di ricevere i messaggi di testo destinati all’utente, comprese le one-time password (OTP), bypassando così l’MFA.
Rafforzamento della sicurezza MFA
Poiché l’autenticazione multifattore (MFA) costituisce un notevole miglioramento rispetto all’uso della semplice password, è destinata a rimanere un’importante pietra miliare nella sicurezza informatica. Pertanto, i professionisti della cybersecurity devono affrontare le sue potenziali debolezze.
Un ottimo punto di partenza consiste nel mitigare e contrastare l’azione dei bot. Gli aggressori sfruttano il riutilizzo delle password per testare le credenziali rubate nei processi di accesso, una tattica nota come “credential stuffing” secondo la definizione di OWASP. Questo consente loro di eludere il primo livello di sicurezza dell’MFA. Inoltre, i bot vengono impiegati anche negli attacchi RTPP, in cui le One-Time Password (OTP) vengono inoltrate al sito di destinazione prima che scadano. Il “bombardamento MFA” è un altro attacco automatizzato che dipende dall’uso di bot. Implementando con successo una soluzione efficace di gestione dei bot, un team di sicurezza può eliminare uno strumento cruciale su cui gli aggressori si basano per bypassare le misure MFA.
Un’altra strategia per mitigare le vulnerabilità dell’MFA è considerare il rischio contestuale, che può essere determinato da vari fattori, tra cui l’indirizzo IP, il provider di servizi Internet (ISP), la posizione dell’utente, l’orario del giorno, il dispositivo utilizzato, la funzionalità a cui si sta accedendo e il comportamento generale. Tutti questi elementi possono essere utilizzati per calcolare un punteggio di rischio mentre l’utente naviga all’interno di un’applicazione. Maggiore è il punteggio di rischio, più rigorose saranno le richieste di autenticazione, che potrebbero persino portare alla sospensione dell’account.
I prossimi passi
Sicuramente continueremo a sentire dichiarazioni riguardo la fine dell’epoca delle password e all’asserzione che nuove tecniche MFA renderanno l’autenticazione completamente sicura. Tuttavia, gli aggressori determinati continueranno a cercare modi per aggirare queste nuove implementazioni, il che richiederà uno sforzo costante nel monitorare e mitigare le vulnerabilità dell’MFA.
A cura di Paolo Arcagni, Solutions Engineering Director di F5
